Недостатки бизнес-процесса видят риски безопасности

Запуск защищенного веб-сайта означает больше, чем просто защиту от межсайтовых скриптов и атак SQL-инъекций. Недостатки в бизнес-процессах, которые лежат в основе веб-сайтов, также могут представлять серьезные риски для безопасности, сказал в четверг технический директор компании по безопасности в Интернете.

Недостатки в процессах или бизнес-логике для веб-сайтов могут оказаться очень выгодными для хакеров, умение эксплуатировать, а иногда технически не запрещено использовать, сказал Джеремиа Гроссман, технический директор WhiteHat Security, в демонстрации Source Boston Security.

«Эти проблемы распространены, если вы знаете, что искать», - сказал он.

[Подробнее читайте: Как удалить вредоносное ПО с вашего ПК с Windows]

Он предложил несколько примеров этих недостатков, в том числе найденных в проектах веб-сайтов, Captcha-систем аутентификации и пользовательских привилегий. Людям, которые используют их, часто просто запрещают пользоваться услугой, хотя иногда их привлекают к ответственности.

В 2007 году женщину обвинили в мошенничестве QVC из 412 000 долларов США, используя недостатки своей бизнес-логики. Она разместила заказы на 1800 пунктов с сетью для домашних покупок, а затем отменила заказы на своем веб-сайте. Она получила кредит на возвращение товара, но предметы были отправлены ей в любом случае, и она продала их на eBay, сообщило министерство юстиции. QVC узнал об этом, когда пользователи eBay связались с ним по поводу получения предметов, находящихся в его упаковке. Женщина в конце концов признала себя виновной в мошенничестве.

Функции сброса пароля могут привести к несанкционированному доступу к учетной записи, если они задают очевидные вопросы, а хакеры имеют небольшие сведения о своих жертвах. Гроссман предложил пример с участием бывшего оператора мобильной связи Sprint. Чтобы сбросить свои пароли, он сказал, что хакеру нужно знать только номер мобильного телефона человека и базовую информацию, например, где они жили, или автомобиль, которым они управляли. Это могло позволить хакеру заказывать новые телефоны у имени жертвы или устанавливать новые службы на свой телефон.

E-купоны представляют риск для торговцев, если номера купонов близки друг к другу последовательно. Один из продавцов видел, что некоторые из его дорогостоящих товаров продаются за несколько долларов после того, как хакер написал сценарий, чтобы выявить номера купонов, которые отличались лишь несколькими цифрами, сказал Гроссман. Розничный торговец обнаружил проблему, когда в ее системных журналах было обнаружено множество заказов, обрабатываемых ночью, в то время как скрипт хакера работал.

Хакеры могут убедить других веб-серферов разрешить Captcha-тесты для них, заманив их на веб-сайты с обещанием бесплатно музыки или контента для взрослых. Captchas требует, чтобы человек расшифровывал строку перемешанных символов для регистрации для таких сервисов, как учетная запись веб-почты. Веб-серферы решают Captchas, которые отправляются через прокси-сервер хакеру, который затем использует их для регистрации нескольких учетных записей электронной почты для отправки спама или какой-либо другой активности.

«Пока у вас достаточно пользователей на ваш веб-сайт у вас есть Captcha решена ", сказал Гроссман. «Плохие парни хотят победить этих Captchas, чтобы они могли спамить нас».

Другим недостатком является предоставление пользователям доступа ко всем частям веб-сайта, когда у них есть логин или пароль для конкретной услуги. Например, сотрудники эстонской фирмы подписали контракт на пресс-релиз Business Wire в 2004 году. Было выяснено, что URL-адреса на сайте иногда содержат информацию о новостях, которые еще не были опубликованы. Используя программу, которая ищет URL-адреса, сотрудники фирмы смогли выявить конфиденциальную бизнес-информацию и финансовую информацию. После покупки и продажи акций на основе этой информации сотрудники составили 7,8 млн. Долл. США, но также пострадали от сборов за мошенничество со стороны регулирующих органов США.

Он отметил, что, вероятно, было много подобных подобных случаев, которые никогда не выявлялись, поскольку преступники были никогда не поймал.

По его словам, веб-безопасность выходит за рамки обеспечения качества и правильного проектирования веб-приложений, чтобы включить в них порядок работы служб.