Создание сайтов. Слабые места сайтов и как ими пользуются злоумышленники .

   Чтобы быть готовым к обороне, нужно знать хотя бы, каким угрозам потенциально подвергаются веб-проекты. Прежде всего перечислим часть бед, которые могут приключиться с сайтом при неосмотрительном отношении к его защите.

   • Подмена главной страницы сайта. На хакерском сленге – «дефейс» (от англ. deface – «портить», «обезображивать»). Один из беспроигрышных вариантов подмочить репутацию компании. «Раз ее корпоративный сайт был взломан, то какая ей вера?» – думает средний пользователь. Самый заметный, но часто наиболее безобидный в долгосрочной перспективе вид взлома. Грязно, однако не смертельн о. Зачастую вандалу хочется лишь громко заявить о себе и он не преследует корыстных целей, вторгаясь в ваше интернет-представительство.

   • Подлог или уничтожение информации и функциональных элементов. Гораздо менее безобидный вариант враждебных манипуляций с сайтом. Периодически используется в конкурентной борьбе. Но чаще взломщики изначально атакуют фактически наобум, прощупывая все подвернувшиеся сайты подряд в надежде, что у какого-нибудь окажется «мягкое подбрюшье». Берет киберпреступник (а как его еще прикажете называть?) и подменяет ваши платежные реквизиты своими, принадлежащими подставному лицу. Если у вас через Интернет проводится много сделок по безналичному расчету, а товара, допустим, заказчик ждет в течение недели-двух, то, пока вы хватитесь, злоумышленники могут умыкнуть немаленькие суммы, предназначавшиеся вам.

   Также в случае захвата интернет-ресурса узурпаторы имеют обыкновение выжимать из него все соки. Например, размещать на его страницах платные SEO-ссылки (таким образом он теряет «вес», который вы с трудом ему обеспечили) или превращать всю площадку в дорвей.

   • Удаление сайта. Со всеми его каталогами и контентом. Самый грубый прием. Но иногда он бывает нокаутом. Водятся еще веб-мастера и администраторы, которые пренебрегают регулярным резервным копированием сайтов (см. далее по тексту).

   • Заражение вирусами. «Зловреды», как их еще называют в Рунете, селятся на сайте и стараются потихоньку внедриться на компьютеры его ни о чем не подозревающих посетителей, если браузеры у тех «дырявые», а антивирусная защита устарела. Успешно инфицировав чей-то ПК, такая вредоносная программа может выполнять самые разные действия: от похищения персональных данных, включая коды доступа к банковским картам и их реквизиты, до выполнения команд от владельца ботнета – целой сети зараженных компьютеров (см. следующий пункт).

   • Создание чрезмерно высокой нагрузки на сайт. Необязательно «зачумлять» сам сайт, чтобы парализовать его работу. Удручающе часто бывает достаточно сделать площадку не доступной никому – на час, день, неделю. Редкий интернет-ресурс рассчитан на по-настоящему высокую посещаемость: многие дислоцируются на виртуальном хостинге (см. главу 7 «Домен и хостинг: паспорт, прописка, жилье»), у иных толком нет постоянного администратора. Значит, чтобы «свалить» сайт, можно пустить на него шквальный поток аудитории. А проще симулировать такой ажиотаж: будто сотни и тысячи человек одновременно пытаются зайти на сайт. Такой печально известный способ обрушения сайтов называется DDoS.

   Суть его в том, что обращения к площадке действительно осуществляются, но не живыми людьми, а ботами – зараженными компьютерами, чьи владельцы ни сном ни духом не ведают про то, что с их ПК отправляется запрос к какому-то сайту. Про методы предупреждения DDoS-атак и борьбу с ними написано в следующей главе.

   • Рассы лка спама через интернет-ресурс. Отправка нежелательной, мусорной корреспонденции до сих пор остается прибыльным делом. Однако спамеров никто не любит. И нет лучше способа оказаться на обочине Интернета, чем быть уличенным в массовом распространении рекламных писем. Говорите, ваш сайт заразили? Тем, кто занесет его в черные списки, безразличны оправдания. Да и со стороны поисковиков ничего хорошего сайт, рассылающий спам пусть даже поневоле, не ждет. Из-за предупреждения вида «Сайт представляет угрозу» (рис. 39) в выдаче поисковика посещаемость площадки гарантированно снижается, подчас в десять и более раз, о чем на конференции CyberMarketing 2012 рассказал руководитель службы безопасного поиска «Яндекса» Александр Сидоров.

   В свою очередь, способы получения несанкционированного доступа к сайту многочисленны, как рой саранчи, и варьируются в широчайшем диапазоне. Все эти методы прекрасно известны специалистам по интернет-безопасности и веб-разработчикам и в массе с воей (но не все до единого) сводятся к манипуляции с программной частью атакуемого проекта. Не углубляясь в джунгли технологий, коснемся наиболее распространенных и уделим каждому несколько фраз.

   • Захват администраторских логина и пароля не через сам сайт. Действительно, чем подбирать ключи к двери, бывает проще стянуть их с пояса у смотрителя. Способов сделать это уйма: взломать почту администратора сайта, или запустить на его рабочий компьютер «троян», который передает своему «заводчику» информацию о происходящем на инфицированном ПК, или, как ни смешно, подсмотреть из-за сутулого вебмастерского плеча.

 

 

 

   • SQL-инъекции. Название очень меткое. Часто сайты активно задействуют базы данных (собственно, SQL – язык для оперирования БД) и для формирования страниц используют вводимую посети телями информацию. Через подобный SQL-запрос, замаскированный под пользовательские данные, при наличии уязвимости взломщику, бывает, удается «впрыснуть» вредоносный код – и далее тот выполняется на веб-сервере.

   • XSS-уязвимости. Cross-site scripting, или «межсайтовый скриптинг». Первую букву аббревиатуры заменили на X во избежание путаницы с CSS – каскадными таблицами стилей, о которых мы говорили в предыдущих главах. Это способ внедрить в страницу, формируемую веб-сервером, фрагмент кода извне за счет неоптимальной работы с пользовательскими переменными на сайте. В простых выражениях – злоумышленник не совершает нападение на сервер, а идет в обход: пытается выхватить (cookies, связку «пароль – логин» и т. д.) критически важные авторизационные данные пользователя площадки, а то и самого администратора. XSS многолик и широко используется в целях так называемого фишинга.

   • LFI (local file include) – не закрытая, как полагается, возможность внед рения локального файла на веб-сервер. Например, если в форме для загрузки пользовательских фотографий или аватарок программистами не была реализована проверка расширений файлов, то хакер располагает возможностью «просунуть» через эту лазейку свой коварный скрипт. Последствия бывают самыми плачевными.

   • CSRF (cross site request forgery) – буквально «подделка межсайтовых запросов». Пользователь заходит на сайт и вводит свои личные данные. Например, аутентифицирующие его с целью отправки платежа. Однако из-за того, что HTTP-запросы к серверу недостаточно тщательно проверяются, эта лакомая информация может утечь за пределы ресурса – прямо в руки к лихоимцу (чтобы удерживаться от более крепких выражений, мы вынуждены употреблять галантные синонимы).

 

   В арсенале у киберпреступников еще не один прием: обход уязвимых CGI– и PHP-скриптов на веб-сервере, ошибки в конфигурировании программного обеспечения на сервере же, халатная реализация криптограф ических решений, кликджекинг и т. д. Часть из них эксплуатирует глупые, откровенные ошибки веб-разработчиков, часть основана на более изощренных принципах. Однако от львиной доли атак можно уберечься, если продумывать защиту от них начиная с этапа прототипирования сайта.