Контакты
Подписка
МЕНЮ
Контакты
Подписка

Как и для чего хакеры атакуют Web-приложения

Как и для чего хакеры атакуют Web-приложения

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций


Как и для чего хакеры атакуют Web-приложения

Сегодня большинство коммерческих предприятий, начиная с банков и заканчивая книжными магазинами, осуществляют свой бизнес преимущественно в Интернете. Для удобства управления своими проектами компании используют Web-приложения. Эти приложения являются привлекательной мишенью для киберзлоумышленников, поскольку их взлом открывает широкие возможности: доступ к внутренним ресурсам компании или к чувствительной информации, нарушение функционирования приложения или обход бизнес-логики. Практически любая атака может принести финансовую выгоду для киберзлоумышленника и убытки, как финансовые, так и репутационные – для владельца Web-приложения (рис. 1).
Ярослав Шмелев
Преподаватель Высшей школы информационных
технологий и безопасности HackerU в России

По данным исследовательской группы Positive Technologies, Web-приложения – одни из частых объектов атак киберзлоумышленников. По итогам 2017 г. на их долю пришлось 26% киберинцидентов.


Самые распространенные атаки (рис. 2), по данным исследования, связаны с межсайтовым выполнением сценариев и внедрением SQL-кода (суммарно 44,5%). В зоне особого риска по данным типам угроз оказались банки и электронные торговые площадки.


Уязвимости распространенных Web-компонентов, небезопасные привычки кодирования и бум автоматических эксплойтов превратили CMS, e-commerce и другие Web-платформы в богатые охотничьи угодья для хакеров. Так, по данным исследователей, объем средств, похищенных через атаки на ICO, по итогам 2017 г. составил $300 млн. Ежедневный объем ущерба от действий хакеров составляет более 6 млн руб.

Эволюция Web-атак

OWASP регулярно публикует топ-10 самых актуальных векторов атак на Web-приложения (рис. 3).


Большинство участников этого рейтинга занимают в нем прочные позиции уже на протяжении многих лет, однако в 2017 г. все же есть некоторые изменения [2]:

Традиционная защита периметра не в силах защитить Web-приложение от киберзлоумышленника, поскольку уязвимости Web-приложений эксплуатируются через открытый HTTP(S)-канал. Поэтому, скомпрометировав Web-приложение, преступник может получить доступ к наиболее чувствительным данным организации и модифицировать их: информацию о клиенте, информацию о транзакциях и другие корпоративные данные.
  • A4:2017. Посредством XXE злоумышленники делают инъекции в XML-потоки, и таким образом получают низкоуровневый доступ к данным, которые проходят через Web-приложение;
  • A8:2017. Для работы с объектами в языках Web-программирования применяется механизм сериализации/десериализации. Небезопасная десериализация приводит к тому, что злоумышленник может, например, делать инъекции команд и эскалировать привилегии;
  • A10:2017. На прикладном уровне процедура журналирования, как правило, отсутствует, поэтому факт атаки на Web-приложение (какие данные ему передавались, по каким циклам ветвления шло выполнение программы) нигде не фиксируется и остается незамеченным;
  • A8 и A10 – не вошли в свежую версию рейтинга. Они, конечно, по-прежнему на слуху, однако поскольку Web-фреймворки стали разворачивать против них эффективные контрмеры, данные уязвимости отодвинулись на второй план;
  • A3 vs A7:2017. XSS ранее занимала более высокую строчку, но теперь переместилась на седьмую позицию, потому что появилось несколько эффективных фреймворков, обеспечивающих защиту от XSS. Однако XSS по-прежнему очень распространена и довольно часто применяется в атаках на Web-приложения.

Вышеприведенные векторы атак актуальны для Web-приложений финансовой индустрии, где в списке самых актуальных угроз они идут под № 2, сразу же за Crimeware (класс вредоносных программ, специально предназначенных для автоматизации киберпреступности). Positive Technologies отмечает, что во всех протестированных приложениях банков и других финансовых организаций найдены уязвимости высокой степени риска. Такие результаты связаны с тем, что приложения банков имеют более сложную логику работы по сравнению с информационными Web-ресурсами других организаций. Этот фактор создает предпосылки для появления большего числа уязвимостей высокой степени риска, эксплуатируя которые, киберзлоумышленник может, например, выполнить произвольный код на целевой системе и захватить полный контроль над сервером, под управлением которого работает Web-приложение.

Как хакеры атакуют Web-приложения

До появления Web-приложений Web-сайты работали по простому принципу: Web-сервер отправлял браузеру статическую html-страницу, а браузер просто отображал ее. Никакие чувствительные бизнес-данные не уходили в онлайн-среду. Сегодня, в эпоху Web-приложений (разработанных на громоздких языках программирования, поддерживающих все возрастающее количество разнообразных Web-технологий), для хранения важных корпоративных и клиентских данных используется сервер.

Традиционная защита периметра не в силах защитить Web-приложение от киберзлоумышленника, поскольку уязвимости Web-приложений эксплуатируются через открытый HTTP(S)-канал (рис. 3). Поэтому, скомпрометировав Web-приложение, преступник может получить доступ к наиболее чувствительным данным организации и модифицировать их: информацию о клиенте, информацию о транзакциях и другие корпоративные данные (рис. 4).


Эксплуатируемые киберзлоумышленником уязвимости зачастую опираются на сложные сценарии пользовательского ввода: неожиданные для разработчика Web-приложения данные могут серьезно нарушить логику работы приложения и привести к выполнению произвольного кода. Поэтому процедура проверки пользовательского ввода – это первая линия обороны Web-приложения.

Одним из самых больших источников ошибок является недостаточная проверка вводимых пользователем данных, а также возможность обойти эту проверку, если она осуществляется на стороне браузера, например, с помощью JavaScript. На первый взгляд, использование скриптового языка на клиентской стороне (в браузере) может показаться предпочтительным, поскольку таким образом можно существенно снизить нагрузку на сервер. Однако браузер – это неконтролируемая зона. Все данные, поступающие к браузеру и идущие от него, могут быть модифицированы, в обход подпрограмм проверки входных данных.

Чем целенаправленные атаки отличаются от прочих

Никакая отдельно взятая защитная технология, даже самая универсальная, не сможет защитить от целенаправленной атаки, в особенности когда ее проводит APT-хакер (рис. 5). Чем целенаправленный APT-хакер выделяется из основной массы хакеров? Тем, что последние берут несколько тривиальных уязвимостей и перебирают большое количество Web-сайтов в надежде взломать хотя бы некоторые из них, тогда как целенаправленный хакер сосредоточен на одном-единственном Web-сайте. В своей атаке он перебирает не сайты, а методики взлома, которых в его арсенале предостаточно.


Сегодня предприниматели осознают неизбежность столкновения с проблемами в критически важных для бизнеса Web-приложениях, поэтому они отказались от идеи абсолютной безопасности и взяли курс на управление рисками. Оно заключается в том, чтобы научиться жить в условиях возможной эксплуатации уязвимостей, которые не могут быть устранены экономически рентабельным образом. Поэтому усилия по их устранению масштабируются по следующей формуле: риск = вероятность события x величина последствий.

Корпоративная программа кибербезопасности

Лучший из существующих на сегодняшний день фреймворков кибербезопасности описан в книге Enterprise Cybersecurity, где подчеркивается, что абсолютная неуязвимость принципиально недостижима. Это связано с тем, что предприимчивый злоумышленник, имея неограниченное количество времени, способен преодолеть даже самую передовую защиту. Поэтому эффективность корпоративной программы кибербезопасности оценивается не в абсолютных категориях, а в относительных: насколько быстро она позволяет обнаруживать кибератаки и насколько долго она позволяет сдерживать натиск противника.

Обеспечение корпоративной кибербезопасности – это нечто большее, чем просто покупка технологий и их развертывание. Она начинается с того, чтобы разработать универсальный фреймворк, который будет отвечать всем этим потребностям.

Лучший из существующих на сегодняшний день фреймворков кибербезопасности описан в книге Enterprise Cybersecurity, где подчеркивается, что абсолютная неуязвимость принципиально недостижима. Это связано с тем, что предприимчивый злоумышленник, имея неограниченное количество времени, способен преодолеть даже самую передовую защиту. Поэтому эффективность корпоративной программы кибербезопасности оценивается не в абсолютных категориях, а в относительных: насколько быстро она позволяет обнаруживать кибератаки и насколько долго она позволяет сдерживать натиск противника. Чем лучше эти показатели, тем больше у штатных специалистов времени на то, чтобы оценить ситуацию и предпринять контрмеры.

Представленный в книге фреймворк очень удобен для оценки корпоративной программы кибербезопасности; он совместим со всеми современными стандартами кибербезопасности (в том числе ISO 27001/27002, NIST SP800-53, PCI DSS, HIPAA, HITRUST) и включает в себя 113 аспектов кибербезопасности, сгруппированных в 11 функциональных областей (см. рис. 6).

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2018
Посещений: 7006

Приобрести этот номер или подписаться
  Автор

Ярослав Шмелев

Ярослав Шмелев

Преподаватель Высшей школы информационных технологий и безопасности HackerU в России

Всего статей:  1

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций