Создание сайта, дизайн, web дизайн
Главная Работы Услуги Цены Контакты

 Главная
 Работы
 Услуги
 Цены
 Контакты
 

Сегодня интернет-магазины расплодились в Глобальной сети буквально как грибы после дождя. Так что любой человек, не отходя от компьютера, может приобрести буквально все - от пирожка и упаковки аспирина до автомобиля или участка земли. Причем ни для кого не секрет, что в электронной коммерции достаточно сильно рискуют обе стороны - как покупатели, так и продавцы. Первые могут остаться без приобретенного товара или получить никуда не годные вещи. Вторые же постоянно рискуют стать жертвами различных мошенников. А ведь среди последних есть немало технически продвинутых людей. И они с помощью своих знаний и хакерских приемов и инструментов могут попытаться атаковать сервер интернет-магазина с целью получения личной выгоды.

Этому способствует низкая защищенность многих онлайновых торговых точек. Конечно же, речь не идет о крупных магазинах, поскольку программное обеспечение для них создавалось хорошими специалистами. Да и во время его эксплуатации часто проводятся различные исследования системы защиты, призванные найти и обезвредить все "дыры", которыми могут воспользоваться хакеры. Совсем по-другому обстоят дела с мелкими торговцами. Они не могут позволить себе заказать дорогой софт, а поэтому либо приобретают дешевые скрипты, которые на досуге пишут студенты, пробующие свои силы, либо нанимают внештатного работника, который самостоятельно создает необходимый комплекс с нуля. Причем ни один из этих вариантов нельзя назвать удачным с точки зрения информационной безопасности. Ведь нет никакой гарантии, что человек, пишущий движок интернет-магазина, действительно разбирается в этом деле. Любой программист, знающий основы одного из веб-языков, может написать работающие скрипты для электронной торговой точки. Но лишь очень немногие специалисты могут сделать это так, чтобы не оставить никаких лазеек для хакеров. К сожалению, сегодня большинство людей не понимают этого. А поэтому интернет-магазины довольно часто становятся жертвами удаленных атак. Некоторые из них являются универсальными и могут с успехом использоваться для взлома любых веб-серверов. Другие же уникальны и пригодны для работы только с торговыми точками. И сейчас мы с вами, уважаемые читатели, рассмотрим наиболее часто использующиеся виды удаленных атак, относящихся к первому типу.

Инъекции

Атаки, называемые инъекциями, не являются специфическими для интернет-магазинов. В принципе, они могут быть использованы против любого веб-сервера. Суть их заключается в том, что злоумышленник вместо ожидаемых данных или параметров скриптов отправляет специальные команды. И если сервер не защищен от этого, то он будет эти команды выполнять. О том, какую это несет опасность для владельца интернет-магазина, наверное, не стоит и говорить.

Основу практически любого интернет-магазина составляет специальная база данных SQL. Именно в ней хранится вся информация о товарах, клиентах, платежах и т. д. Нужно ли говорить, что, заставив базу данных выполнять его команды, злоумышленник может сделать практически все. Ну а если он при этом не будет зарываться, то вполне вероятно, что какое-то время его проникновение не смогут обнаружить. Именно поэтому наибольшее распространение среди атак интернет-магазинов получили SQL-инъекции.

Принцип проведения этих атак очень прост. Злоумышленник заходит на одну из страниц магазина, содержащую веб-форму, и вводит в каком-либо текстовом поле специальные символы или строки, после чего отправляет их на сервер. И если база данных не защищена от инъекции, то она выполнит команды, которые передал ей злоумышленник. Особенно уязвимыми в этом плане являются серверы MS SQL. Дело в том, что они по умолчанию работают с высокими привилегиями и могут выполнять команды операционной системы. Кроме того, они умеют обрабатывать множественные запросы, разделенные символом точка с запятой. Все это, конечно, весьма удобно для программиста, но становится крайне опасным, если он забыл включить в скрипты защиту от SQL-инъекций.

Впрочем, для инъекций могут использоваться не только базы данных. Достаточно часто злоумышленники получают возможность выполнять команды операционной системы сервера благодаря скриптам, написанным на языках PHP или Perl. Особенно опасным в этом плане является запрос system. С его помощью и с использованием разделителей команд и системных метасимволов хакер может попытаться заставить сервер выполнять нужные ему действия.

Вызов исключительных ситуаций

Одним из универсальных способов атак различных компьютерных систем является искусственный вызов тех или иных исключительных ситуаций. В большинстве случаев это ничего не дает, поскольку разработчики предусмотрели такую возможность и определили реакцию системы на такие ошибки. Однако всегда есть шанс того, что создатели не учли возможность возникновения каких-либо исключительных ситуаций. И если злоумышленнику удастся вызвать такую ошибку, то система может повести себя самым неожиданным образом, в том числе и выгодным для злоумышленника.

Самой известной атакой рассматриваемого типа является искусственный вызов переполнения буфера. Этой ошибкой могут попытаться воспользоваться хакеры и в отношении интернет-магазинов. Причем данной опасности подвергаются системы, написанные на различных языка программирования: Perl, PHP, ASP и т. д. Впрочем, сразу стоит отметить, что вызов исключительной ситуации не позволяет хакеру автоматически получить контроль над удаленной машиной, исправить базу данных или выполнить произвольную команду. Но зато сообщения, которые выдаются в результате ошибок, могут стать для злоумышленника поистине бесценным источником информации. Так, например, попытавшись отправить через веб-форму слишком длинную строку, хакер может раскрыть пути используемых в ней функций PHP. И это очень важно. Дело в том, что, видя сайт снаружи, нельзя догадаться, где располагаются служебные скрипты. Между тем эта информация позволяет злоумышленнику попробовать провести те или иные атаки.

Но, естественно, опасность несут не только сложные исключительные ситуации, но и простые ошибки. И за примерами далеко ходить не нужно. В некоторых интернет-магазинах ошибки в скриптах возникают в том случае, если пользователь ввел данные не того типа. Например, в параметрах какого-либо скрипта должно передаваться какое-то число. Если же злоумышленник вместо него ввел символьную строку, а разработчик не предусмотрел такую возможность и не создал соответствующую обработку сложившейся ситуации, то на экране браузера будет отображено сообщение об ошибке. А в нем многие серверы сообщают такие данные, как свой тип и версию, используемые дополнительные компоненты, путь к скрипту и т. д. Эта информация позволяет хакеру использовать узконаправленные атаки с использованием известных уязвимостей программного обеспечения.

Промежуточные итоги

Итак, как мы с вами, уважаемые читатели, видим, безопасность интернет-магазина очень сильно зависит от разработчика его движка (впрочем, в этом нет совершенно ничего удивительного). Именно поэтому создание программного обеспечения для электронной торговой точки лучше всего доверять настоящим профессионалам или использовать для создания сайта какую-либо систему CMS. В этом случае шансы стать жертвами мошенников существенно снижаются. Кроме того, весьма полезно периодически проводить аудит системы защиты веб-сайта. Для этого можно как привлекать сторонних специалистов в области информационной безопасности, так и применять программы-сканеры. Только таким образом можно добиться надежной защиты интернет-магазина от технически подкованных злоумышленников.

 

В прошлый раз мы с вами, начали разговор о низкой защищенности многих интернет-магазинов. Особенно это утверждение верно в отношении небольших электронных торговых точек. Именно они в первую очередь оказываются в "зоне риска". Именно они являются потенциальными жертвами хакеров, которые хотят извлечь из своих знаний личную выгоду любым, пусть даже и незаконным способом. Кстати, опасность удаленных атак напрямую касается и клиентов интернет-магазинов. Дело в том, что с помощью взлома электронной торговой точки злоумышленник вполне может завладеть их личной информацией, например данными кредитной карточки. Чем это грозит человеку, наверное, не нужно даже объяснять.

Между тем у хакеров есть достаточно большой выбор самых разных способов взлома интернет-магазина. Некоторые из них мы разобрали в первой части данной статьи. Причем в процессе этого выяснилось, что к электронным торговым точкам могут применяться многие универсальные атаки, которые работают для широкого спектра различных веб-северов. Но помимо них для взлома интернет-магазинов могут использоваться и специальные уникальные воздействия. Кроме того, хакер может попытаться использовать сайт какого-нибудь продавца для атак его клиентов. Обо всем этом и будем разговаривать сегодня.

Подмена цены

Атаки, направленные на подмену цены товара, являются уникальными, они применяются только к интернет-магазинам. Принцип их работы заключается в следующем. В некоторых интернет-магазинах при генерации динамической HTML-страницы с формой заказа цена товара указывается в специальном скрытом поле вместе с другими данными (номер заказа, номер товара, дата и т. п.). И хакер вполне может изменить их перед отправкой на сервер. Делается это с помощью специального программного обеспечения, например утилиты Achilles. Эти инструменты представляют собой особые прокси-серверы, способные прерывать данные HTTP-сеанса между клиентом и сервером. При этом информация отображается в текстовом виде. Так что пользователь получает возможность легко ее исправить. То есть фактически злоумышленник может самостоятельно установить цену на приобретаемый товар. Конечно, по логике все поступаемые заказы перед проведениями транзакций должны проверяться вручную. Вот только по такой схеме работают не все интернет-магазины. Кроме того, если злоумышленник не будет зарываться, ставя цену товара в 1 доллар, то менеджер может легко не заметить его правку.

Впрочем, такие сложные манипуляции нужны далеко не всегда. Некоторые движки интернет-магазинов используют для хранения информации о заказе cookies, то есть специальные файлы, размещенные на компьютере клиента. Естественно, хакер может легко исправить их, установив для товара свою цену. Конечно, для этого необходимо знать, что именно следует подчищать. Но решение этой задачи не представляет собой серьезную проблему. Хакер может либо поэкспериментировать с заказами и понаблюдать за изменением cookies, либо просто узнать, какой движок используется в данном интернет-магазине, и внимательно изучить его.

Атаки на процесс аутентификации

Ни для кого не секрет, что практически везде в Интернете используется только один способ аутентификации - парольная защита. К сожалению, данный механизм не удовлетворяет современным требованиям информационной безопасности. Слишком уж часто пользователи применяют очень ненадежные пароли. Сегодня в Глобальной сети можно найти немало утилит, предназначенных для подбора паролей именно на удаленной системе. Работают они, конечно, медленней, чем на локальной машине, но тем не менее найти нужный ключ, состоящий из нескольких символов, могут без труда. Кроме того, у парольной защиты в Интернете есть еще одна беда. Большинство посетителей Глобальной сети стараются использовать одинаковые пары логин/пароль для всех онлайновых сервисов. Таким образом, злоумышленник, взломав какой-нибудь слабо защищенный сервер, например доску объявлений, получает все необходимое для несанкционированного доступа к хорошо защищенной удаленной системе.

Кроме того, некоторые интернет-магазины используют для связи с клиентами незащищенные каналы связи. В этом случае все данные передаются по обычному протоколу HTTP. Ну а злоумышленник при соблюдении некоторых условий может прослушать трафик, которым обмениваются клиент с сервером, и выделить из них аутентификационную информацию пользователя. При успехе этой операции хакер получает возможность зайти в интернет-магазин под именем другого человека и воспользоваться его персональным счетом.

Помимо перечисленных атак существует еще немало способов воздействия на процессы аутентификации. Перечислить их все в одной статье просто-напросто невозможно.

Межсайтовый скриптинг

Данная атака направлена в первую очередь на конечных пользователей интернет-магазина. То есть непосредственную угрозу она несет не для самой электронной торговой точки, а для ее клиентов. Хотя, конечно, и интернет-магазину межсайтовый скриптинг может нанести очень значительный ущерб: вряд ли кто-то из покупателей в будущем решится иметь дело с этим продавцом.

Межсайтовый скриптинг возможен только тогда, когда на сайте есть форма, которая принимает информацию от посетителя, обрабатывает ее и выводит результаты на динамически генерируемую страницу. Причем среди результатов должна быть и введенная пользователя информация. Таким образом, чаще всего уязвимыми местами интернет-магазинов становятся система заказа товара, раздел регистрации новых клиентов и поиск товаров.

Принцип работы межсайтового скриптинга заключается в следующем. Злоумышленник в одном из текстовых или строковых полей формы вводит не ожидаемую от него информацию, а специальный JavaScript-код, после чего отправляет его на сервер. Если движок интернет-магазина не анализирует получаемую от клиента информацию, то у хакера может получиться внедрить собственный скрипт в систему. Зачем это нужно? Чаще всего именно таким образом злоумышленники воруют данные, хранящиеся в файлах cookies жертв. Как известно, доступ к ним может получить только тот сервер, который их записал. Внедрив же в систему интернет-магазина собственный скрипт, хакер может заставить интернет-магазин отправлять ему данные о всех пользователях, установивших с ним связь.

Есть у хакеров и другой способ использования межсайтового скриптинга для получения интересующей его информации о пользователе. В этом случае злоумышленник встраивает в систему JavaScript-код, открывающий на компьютере жертвы небольшое окно с запросом аутентификационных данных или, например, информации о кредитной карточке. Внешне все это выглядит так, как будто вопрос задает система интернет-магазина. Однако на самом деле введенные данные отправляются на сервер злоумышленника. В некоторых случаях с помощью межсайтового скриптинга хакер может вообще незаметно перенаправить посетителя с электронной торговой точки на ее полную копию. В этом случае пользователь будет работать на поддельном сайте, самостоятельно отправляя злоумышленнику важную информацию и даже перечисляя на его счета деньги в уплату за несуществующий товар. Такой метод мошенничества называется фишингом.

Подводим итоги

Ну а теперь пришла пора подвести итоги. Как мы с вами, уважаемые читатели, убедились, у хакеров есть много способов проведения различных атак на интернет-магазины. Причем в результате этих воздействий могут пострадать как владельцы электронных торговых точек, так и их клиенты. Подавляющее большинство атак становятся возможными благодаря ошибкам разработчиков движков интернет-магазинов. Именно поэтому очень важно уделять особое внимание безопасности на протяжении всего процесса создания электронной торговой точки, начиная с проектирования веб-системы.




Марат Давлетханов http://hostinfo.ru
Состояние воздуха:
Мониторинг загрязнения атмосферы в режиме реального времени
© 2004-2017 LABDESIGN.RU   e-mail: