Bezpieczeństwo stron WWW

Od dłuższego czasu posiadam specjalne wydanie numeru hackin9, w którym zostały zebrane najlepsze artykuły na temat bezpieczeństwa IT (szeroko rozumianego). Myślę, że mimo wysokiej (69zł),  warto poświęć czas i poszerzyć swoją wiedzę.

Ostatnie informacje na temat dopisywania się kawałków kodu iframe do stron, obawiam się, że można połączyć z nową techniką ataków na komputery. Jest nią clickjacking i w wielkim skrócie chodzi – zresztą jak sama nazwa wskazuje – przechwytywanie kliknięć.

Dzisiaj kolejny wpis z bezpieczeństwa stron. Poruszę kwestię sprawdzania, czy nasz skrypt jest podatnych na tego typu ataki oraz w jaki sposób można masowo sprawdzać próby ataków (formularze, ciasteczka, sesje i ingerencja w adres strony).

Nie wiem czy zdajecie sobie sprawę, ale każdy serwis, który przechowuje dane wrażliwe (takie jak między innymi login i hasło) powinien odpowiednio zadbać o ich bezpieczeństwo. Nie chodzi tutaj tylko o zakodowanie hasła (np. md5) a o odpowiednie zabezpieczenie fizyczne maszyn przechowujących te dane.

Od jakiegoś czasu po sieci grasuje wirus, który łączy się z naszymi serwerami (prawdopodobnie dane do FTP pobiera z Total Commandera) i dołacza kod html i php do naszych stron. Zagrożone są wszystkie skrypty. Te autorskie i darmowe tj. Wordpress.

Autorem tego cytatu jest Sun-Tzu i doskonale opisuje to co dzisiaj Wam polecę jako dobrą lekturę. Jeśli chodzi o bezpieczeństwo stron internetowych, to prócz sztuczek z PHP, katalogami, prawami dostępu i innymi zabezpieczeniami, ważne jest aby poznać dobrze swojego wroga (hakera, crakera etc).

Tak się składa, że na ostatnim NetDay, był policjant, który mówił o różnego rodzaju przekrętach w Internecie. Wyłudzanie pieniędzy, oszustwa na allegro czy zdobywanie loginów i haseł do kont bankowych. Padło też pytanie: "Czy w raz z upływem czasu, metody policji też się zmieniają?"

Każda aplikacja bądź serwis, która osiągnie sukces, prędzej czy później jest narażona na próbę oszustw. Szczególnie tak się dzieje gdy tym popularnym serwisem, a w tym konkretnym przypadku jest gra.

Dla każdego programisty największą porażką jest moment, kiedy wychodzi na jaw, że jego skrypt okazał się podatny na atak. Atak który spowodował różnego rodzaju. Od podmiany strony głównej, przez przekierowaniu na porno i kończąc na kradzieży danych wrażliwych (klientów, użytkowników, etc.). Wszystko dlatego, że przez podmianę jednej wartości zmiennej przesyłanej metodą GET, skrypt się wyłożył i pojawił się komunikat z błędem.

Dzisiaj chcę wszystkich zachęć do zapoznania się „atakami socjotechnicznymi”, które polegają – jak to pisał Kevin Mitnick w „Sztuce podstępu” – nie łamaniu ludzi, tylko komputerów. Jest to jedna z ciekawszych metod, bo nie trzeba się znać na programowaniu, a hasło do serwisu czy też systemu można zdobyć pytając się o nie wprost.