Видео: 4 Unicode and N character in SQL Server (Октября 2024)
Не зацикливайтесь на уязвимостях нулевого дня и очень сложных целевых атаках. Злоумышленники с большей вероятностью используют старые, известные недостатки в веб-приложениях, поэтому вместо этого сосредоточьтесь на базовых исправлениях и гигиене безопасности.
Уязвимость, исправленная в 2010 году, и еще одна в 2009 году были в числе десяти наиболее часто встречающихся веб-уязвимостей в апреле, сообщил SecurityWatch Барри Штейман, директор по стратегии безопасности Imperva. Несмотря на их возраст, как частные, так и промышленные злоумышленники продолжают атаковать эти уязвимости, потому что эти кампании являются «прибыльными». По словам Штеймана, атака не требует покупки или разработки дорогостоящих эксплойтов нулевого дня, «как и старые, которые широко доступны».
Злоумышленники понимают, что старые уязвимости - это низко висящий плод безопасности веб-приложений. Злоумышленники могут быть изощренными, если они в этом нуждаются, и в их распоряжении есть инструменты для создания сложных кампаний. Но зачем беспокоиться, когда люди придерживаются устаревших версий веб-приложений или администраторы не поддерживают регулярный график исправлений для приложений. Эта проблема еще более распространена среди широко используемых приложений, таких как программное обеспечение для форумов, системы управления контентом и даже инструменты электронной коммерции, сказал Штейман.
Системы в опасности
Все уязвимости, нацеленные в апреле, были инъекционными атаками, такими как внедрение файлов и SQL, и все они были исправлены. Ошибка 2010 использовала проблему управления привилегиями в ZeusCMS 0.2, а ошибка 2009 года была инъекцией SQL в Zen Cart 1.3.8 и более ранних версиях. «Уязвимости никогда не умирают», - сказал Штейман.
Если злоумышленники знали о проблеме в одной CMS и что CMS была установлена 10 миллионов раз, поиск сайтов, на которых работает эта версия программного обеспечения, "имеет смысл", сказал Штейман. Это требует некоторого рассудительного Google-фу и ничего больше.
Imperva предоставила диаграмму десяти главных уязвимостей, на которые нацелены, и три вещи всплыли. «Новейшая» уязвимость в списке относится к 2013 году. Как видно из оценки CVSS, сами уязвимости не являются сложными, крайне критическими недостатками. И сами подвиги не так сложны.
Было много массовых атак на популярное программное обеспечение CMS, включая WordPress и Joomla. Имея достаточно уязвимых систем, злоумышленникам гораздо дешевле и проще искать эти системы, чем создавать атаки нулевого дня.
Увеличение в мире инъекций
По словам Штеймана, злоумышленники просто и снова используют существующие и недавно обнаруженные векторы атак. Вот почему внедрение SQL и межсайтовый скриптинг остаются популярными векторами атак. Проблема SQLi была решена десять лет назад, но уровень атак все еще высок. По его словам, межсайтовый скриптинг составлял 40% атак за последние три месяца, а SQL-инъекция - 25%.
«Если у нас есть лекарство от рака, вы ожидаете увидеть снижение уровня смертности. Но это не относится к инъекции SQL», - сказал Штейман.
Быстрый взгляд на Exploit-db.com подтверждает наблюдения Штеймана. Из семи эксплойтов, перечисленных в разделе «Веб-приложения», пять имели какое-либо отношение к готовому программному обеспечению, такому как WordPress, AuraCMS или социальной бизнес-платформе Sharetronix. Атаки XSS и SQL-инъекций также часто упоминались.
Администраторы, независимо от того, управляют ли они сайтами, на которых ежедневно работают миллионы пользователей, или сайтами с меньшим присутствием в Интернете, должны регулярно обновлять свое программное обеспечение. Многие разработчики CMS упростили процесс обновления в своем программном обеспечении, и есть инструменты, помогающие идентифицировать все приложения, которые были установлены. Неиспользуемые функции должны быть отключены.
Конечно, атаки нулевого дня и целевые атаки страшны. Но если злоумышленники придут за вашими данными и вашим сайтом (и вероятность того, что кто-то это сделает, высока), не пренебрегайте дырами в вашем программном обеспечении. Патчи, запускать инструменты оценки и искать подозрительное поведение. Бдительность - это ключ.
