Quais são os tipos mais comuns de ataque em servidores web?

ataques XSS alterar sites confiáveis ​​com código malicioso.

ataques XSS alterar sites confiáveis ​​com código malicioso.

Um atacante malicioso tem vários métodos à sua disposição de comprometer servidores Web. aplicações web exigem um número de aplicações entrelaçados para funcionar corretamente. Isso significa que o administrador do servidor Web deve monitorar bancos de dados, linguagens de marcação estendida, intérpretes de script e muito mais. Cada site rodando em um servidor Web tem o potencial, por meio de codificação, para comprometer o servidor. Os ataques são amplas e numerosas, mas todos eles se dividem em categorias semelhantes.

Cross-Site Scripting

Cross-site scripting, de acordo com White Hat Segurança, é o problema mais comum em sites, com mais de 80 por cento dos sites de ser vulnerável. XSS permite que atacantes para executar código arbitrário em um cliente ou servidor, dependendo do arranjo do ataque. O problema de XSS surge quando cadeias de entrada, em caixas de pesquisa ou formas, não são devidamente higienizados para remover caracteres ilegais. Aquando da apresentação de um formulário, uma string não sanitizadas pode escapar de código do formulário e executar o seu próprio código, hospedado em outro local, para explorar a máquina cliente.

Injeção SQL

Video: Tipos de servidores web



SQL é a linguagem de banco de dados mais comum usado em conjunto com servidores Web. bancos de dados SQL armazenar e servir grandes quantidades de informações do usuário, incluindo nomes de usuários, senhas e informações financeiras. Tal como acontece com XSS, um ataque de injeção SQL depende de cordas unsanitized para injetar uma consulta SQL no banco de dados, seja inserindo novos ou solicitando informações atuais. Isso pode levar a dezenas de nomes de usuário enumerados, o primeiro passo para comprometer uma conta de usuário.

Os ataques de força bruta

O ataque de força bruta, que não requer muito conhecimento técnico para realizar, é por isso que a maioria dos sites são projetados para bloquear um nome de usuário com cinco ou mais tentativas de senha falhou. Em um ataque de força bruta, um atacante é executado através de uma lista de senhas para um determinado nome de usuário, tentando adivinhar o correto. Isso é muitas vezes feito com um arquivo de dicionário, servidos para vetor de ataque do hacker, que podem adivinhar senhas do usuário mais rapidamente. Outro ângulo para ataques de força bruta é a adivinhação da resposta à pergunta de segurança do usuário. Isso ocorre quando um atacante reúne informações suficientes sobre o usuário que ela pode adivinhar com precisão uma ou mais das perguntas respostas de segurança do usuário e alterar a senha da conta.

Buffer Overflow

Um buffer overflow é um problema de aplicativo e de programação que pode levar a violações de segurança. estouros de buffer ocorrem quando estouros de buffer de memória de um aplicativo, escrevendo de entrada para a memória fora dos limites do buffer. Isso faz com que aplicações para ir derem errado, muitas vezes, permitindo a execução de código arbitrário no sistema e, por vezes, se executado corretamente, deixando cair atacantes diretamente em um console do sistema. buffer overflows são em grande parte um problema no servidor e menos de um aplicativo da Web um, o que significa que atualizações regulares vai eliminar grande parte do problema.

Video: Vulnerabilidades Em Servidores Web [ parte 1 ]

Referências

  • ligação Microsoft- Web Application Security Fundamentals- J.D. Meier et al.- junho 2003
  • ligação Symantec- Cinco comum Web Application Vulnerabilities- Sumit Siddharth e Pratiksha Doshi- abril 2006
  • ligação White Hat Segurança- Site Segurança Whitepaper- Jeremias Grossman- junho 2007

Sobre o autor

Chad Anderson começou a escrever profissionalmente em 2009. Ele contribui principalmente artigos sobre tecnologia e assuntos exteriores para vários sites. Suas áreas de interesse incluem Linux e software de código aberto, juntamente com o ciclismo e outros esportes ao ar livre. Anderson detém um Bachelor of Arts em Inglês literatura da Universidade de Nevada em Reno.


Artigos relacionados