Video: 5 store FORDELE ved at investere som ung (Oktober 2024)
Undgå besættelse af nul-dages sårbarheder og de meget sofistikerede, målrettede angreb. Angribere er mere tilbøjelige til at udnytte ældre, kendte fejl i webapplikationer, så fokusér på grundlæggende programrettelse og sikkerhedshygiejne i stedet.
En sårbarhed, der blev opdateret i 2010 og en anden i 2009, var blandt de ti mest hyppigt målrettede websårbarheder i april, fortalte Barry Shteiman, Impervas direktør for sikkerhedsstrategi, til SecurityWatch. På trods af deres alder målretter både private og industrialiserede angribere fortsat disse sårbarheder, fordi disse angrebskampagner er "lukrative". Angrebet kræver ikke at købe eller udvikle dyre udnyttelse af nul dage "som gamle, der er bredt tilgængelige fungerer lige så godt, " sagde Shteiman.
Angribere forstår, at ældre sårbarheder er den lavt hængende frugt af webapplikationssikkerhed. Angribere kan være sofistikerede, hvis de har brug for det, og der er værktøjer til deres rådighed til at lave komplekse kampagner. Men hvorfor gider det, når folk holder sig med forældede versioner af webapplikationer eller administratorer ikke opretholder en regelmæssig programplan for programmerne. Problemet er endnu mere udbredt blandt vidt anvendte applikationer, såsom forumsoftware, indholdsstyringssystemer og endda e-handelsværktøjer, sagde Shteiman.
Systemer i fare
Alle de sårbarheder, der blev målrettet mod i april, var injektionsangreb, såsom fil og SQL-injektion og er alle blevet rettet. Fejlen i 2010 udnyttede et problem med administration af rettigheder i ZeusCMS 0.2, og buggen i 2009 var en SQL-injektion i Zen Cart 1.3.8 og tidligere. "Sårbarheder ser aldrig ud til at dø, " sagde Shteiman.
Hvis angribere kendte til et problem i et CMS, og at CMS var blevet installeret 10 millioner gange, så var der på udkig efter websteder, der kører denne version af softwaren "mening", sagde Shteiman. Det kræver noget fornuftigt Google-fu og intet meget andet.
Imperva leverede et kort over de ti målrettede sårbarheder, og tre ting dukker op. Den "nyeste" sårbarhed på listen er fra 2013. Som det kan ses af CVSS-score, er sårbarhederne i sig selv ikke sofistikerede, meget kritiske fejl. Og selve udnyttelsen er ikke så kompleks.
Der har været masser af masseangreb mod populær CMS-software, herunder WordPress og Joomla. Med nok sårbare systemer derude, er det langt billigere og lettere for angribere at se efter disse systemer i stedet for at lave angreb på nul dage.
Stigning i injektionsverdenen
Angribere bruger bare eksisterende og for nylig opdagede angrebsvektorer igen og igen, sagde Shteiman. Dette er grunden til, at SQL-injektion og scripting på tværs af sider stadig er populære angrebsvektorer. SQLi-problemet blev løst for ti år siden, men angrebsraterne er stadig høje. Cross-site scripting tegnede sig for 40 procent af angreb i de sidste tre måneder og SQL-injektion som 25 procent, sagde han.
"Hvis vi har en kur mod kræft, forventer du at se et fald i dødeligheden. Men det er ikke tilfældet med SQL-injektion, " sagde Shteiman.
Et hurtigt blik på Exploit-db.com bekræfter Shteimans observationer. Af de syv udnyttelser, der er anført under webapplikationer, handlede fem på en eller anden måde med off-the-shelf-software, såsom WordPress, AuraCMS eller social forretningsplatform Sharetronix. XSS og SQL-injektionsangreb blev også ofte listet.
Administratorer, uanset om de administrerer websteder, der har millioner af brugere hver dag eller et websted med en mindre online tilstedeværelse, skal sikre, at de regelmæssigt lapper deres software. Mange CMS-udviklere har forenklet opdateringsprocessen inden for deres software, og der er værktøjer til at identificere alle de applikationer, der er installeret. Funktioner, der ikke bruges, skal deaktiveres.
Selvfølgelig, nul-dages angreb og målrettede angreb er skræmmende. Men hvis angriberen kommer efter dine data og dit websted (og oddsene er høje, vil nogen), skal du ikke gøre det let ved at have huller i din software. Patch, kør vurderingsværktøjer og se efter mistænksom opførsel. Vigilance er nøglen.
