Как се хаква сайт на частна или държавна организация

Вижте как може да се предпазите от подобни атаки

Как се хаква сайт на частна или държавна организация
~ 2 мин.

Редица държавни организации станаха жертва на атака, която деформира външния вид на уебсайтовете им в рамките на ден. И както много често се случва - има добра и лоша новина.

Добрата е, че данните на сайтове са останали непокътнати, тъй като атаката е засегнала повърхността на страниците. Иначе казано, засегнат е бил само HTML кода (или форматирането), без да се достига до бази данни или информация за потребители вътре в системите. Лошата: че дори и толкова дребен пропуск може да бъде използван за кражба на лични данни и фишинг атаки срещу неподозиращите потребители.

Какво представлява атаката отвътре? При програмирането на засегнатите страници най-вероятно не е било забранено използването на специални символи. Това дава възможност в полетата с променливи да бъде инжектиран HTML/JavaScript, който да промени съдържанието на дадена страница или да създаде нова. И тук идва добрата новина: "инжектирането" става само от страна на клиента. Промяната не засяга данни върху сървъра.

Иначе казано - промяната се вижда само при въвеждане на специален URL в полето за адрес на браузъра. Което - въпреки че не представлява пробив в сигурността на базите данни на сайта - може да бъде използвано за осъществяване на заблуждаващи атаки срещу потребителите.

Реално това средство за атака позволява кражба на ID на потребителска сесия и бисквитки (cookies). Сдобиването с тази информация от своя страна може да доведе до злонамерено използване на потребителски профили в други сайтове (Facebook, мейл клиенти и т.н.), например.

И още нещо. Освен за споделяне на забавни картинки в сайтове, този метод за атака може да се ползва и за добавяне на фалшиви полета във форми - например фалшива логин форма, която да послужи за кражба на пароли на потребители. Или банкова информация. Или за каквото друго пожелаят кибер-престъпниците. Тоест, подобни пробойни могат се ползват не само за шеги на чужд гръб.

Как може да се предпазите от подобни атаки? Одитът на сигурността от независима сертифицирана организация е първата стъпка за защита на всички активи на организациите - не само на сайтовете им, а и на всички други активи, свързани със съхраняване и обработка на информация и лични данни.


Източник: Eset

Viber Logo Четете ни във Viber

Последвайте ни Google News Icon Google Новини

Следете новините на Economic.bg през останалите социални канали на медията:  Facebook  /  LinkedIn  /   Instagram  /  Twitter  /  Threads

Последни Най-четени
Всички избрани новини