1.3 Веб-қосымшаларға шабуылдар Шабуылдардың сипаты
Веб-қосымшаға шабуылдар екі негізгі себептерге байланысты таралады: әлеуетті зиянкестердің кіру шегінің төмендігі және веб-қосымшаның қауіпсіздігіне немқұрайлы қарау, әр түрлі сатыларда: жобалаудан бастап, қолдауға дейін.
Негізгі массада веб-ресурстарда арнайы қорғау, мониторинг және анықтау құралдары пайдаланылмайды, бұдан басқа веб-қосымшаның қауіпсіздігіне жауап беретін персонал жоқ. Сондай-ақ веб-ресурстың қауіпсіздігіне төнетін қауіп-қатерлер туралы тиісті хабардарлықтың деңгейі жоқ. Веб-серверді қауіпсіз күйге келтіру үшін (және веб-қолданбалар) аз көңіл бөлінеді.
Сканерлерді танымал ету және тарату және қауіпсіздік утилитасы әлеуетті зиянкестердің кіру шегінің төмендігін алдын ала анықтайды. Ал көптеген қауымдастықтар мен "хакер аралық" форумдар шабуыл техникаларының таралуына ықпал етеді. Сонымен қатар, бұған жаңа осалдықтар мен шабуылдардың техникалық аспектілері туралы жедел және кең жариялану ықпал етеді.
1.4 Веб-қосымшаларға шабуыл түрлері Хакерлер веб-қосымшалар қауіпсіздігінің негізгі қатері болып табылады, олардың шабуылдары жүйелі (түпкі мақсаты болуы), сондай-ақ жүйесіз сипатта болуы мүмкін. Бірінші жағдайда қылмыскер бұзудың ықтимал сәтті сценарийлерін қалыптастыру және жүзеге асыру мақсатында шабуыл векторларының шекті ықтимал санын анықтауға мүмкіндігі бар, ал екінші жағдайда веб-қосымшаларда, әдетте, беттік осалдықтардың қатарын пайдалана отырып, жаппай шабуыл жасайды.
Мақсатты шабуылдар - бұл жалғыз веб-сайтқа немесе жалпы белгімен біріктірілген веб-сайттар тобына әдейі бағытталған шабуылдар (мысалы. бір компанияның сайттары). Мұндай шабуылдардың негізгі қаупі көбінесе "тапсырысты шабуылдар" болып табылады, сондықтан мұндай шабуылдардың орындаушылары әдетте веб-қосымшалардың қауіпсіздігі саласында жоғары білікті зиянкестер болып табылады. Осы шабуылдардың мақсаты теріс пиғылды бәсекелестер немесе қылмыскерлер пайда табу үшін пайдалануы мүмкін құпия деректерді алу болып табылады.
Мақсатсыз шабуылдар - бұл іс жүзінде "сәттілікке" жүргізілетін шабуылдар, ал олардың құрбандары қызмет аясына, танымалдығына, географиясына немесе мөлшеріне қарамастан кездейсоқ веб -ресурстар болып табылады. Веб-қосымшаға мақсатсыз шабуыл - бұл интернет - ресурсқа рұқсатсыз қол жеткізу әрекеті, бұл ретте қылмыскер нақты сайтты бұзуды мақсат етпейді,ал қандай да бір критерий бойынша бөлінген жүздеген немесе мыңдаған ресурстарды бірден шабуылдайды. Мысалы, сайтты басқару жүйесінің белгілі бір нұсқасында жұмыс істейтін веб-сайттар. Мұндай шабуылдар ең аз шығынмен веб - қосымшалардың ең көп санын қамтуға тырысады.
Егер шабуыл сәтті болса, қаскүнем осы пайданы алуға ұмтылады: веб - ресурста тіркелу, зиянды кодты енгізу, деректер базасынан қажетті ақпаратты алу, әкімшіні қосу немесе "хакерлік" скриптті (бэкдор, веб-шелл) жүктеу.
Мақсатты шабуылдар-құпия жүргізіледі, әдетте өз мақсатына жетеді. Мақсатсыз шабуылдар жеткілікті "шулы" және жиі қойылған міндеттерге қол жеткізе алмайды, алайда интернет-ресурстың иесіне көптеген проблемаларды жеткізе алады.