オンラインストアを「破る」方法と理由





あなたはオンラインストアのオーナーであり、人生は美しく、素晴らしいです-あなたはサプライヤーと交渉するか、あなた自身の生産を確立します。 特別に訓練された人々またはあなた自身がプロモーション、コンテキスト広告に従事しています。

店舗は徐々に収益を生み出し始め、拡大するオンライン取引市場でニッチを占めるようになりました。 そして、それがターゲットになります。





競合他社。



PetyaとVasyaは電話ケースを販売しています。 Petyaは彼の魂を店に入れ、ユーザビリティのケースに取り組み、彼のユーザーパスは彼の購入意欲を高めました。 よくできた広告会社のおかげで新しい顧客が現れます。古い顧客は忠実で、もっと購入する準備ができています。 Petyaは、時間とお金をかけようと試み、稼ぎ始めました。



Vasyaは膝でサイトを盲目にし、Petyaのサイトから画像を盗み、利益を待っています。 むしろ、彼は顧客を待っていますが、そうではありません。 Vasyaは彼の失敗の根本原因を理解せず、Petyaをすべて非難します。 いくつかのシナリオに従って、さらにイベントが発生します。



ヴァシャはin辱的であり、ヴァシャは怒っています。 VasyaはDDoSを注文します。 しかし、通常Vasin DDoSは彼のサイトと同じくらい不器用で、Petyaは新しい不幸にすぐに対処します。 DDoSのために小遣いを下げたVasyaは、カブをかき始めます。 お金はありません、ペティアは活況を呈しています。 どうする 注文/顧客を盗む!



Vasilyは、テーマ別サイトの読み取りとなじみのないプログラムのダウンロードを開始します。 インターネットでのハッキングまたは検索のリクエストで、隣のSeryozhaに向かいます。



「ハッカー」サイトの1つからの実際の例:

オンラインストアをハッキングする必要があります。 コードを挿入します。 注文を目的のメールにリダイレクトします。 CMS内の注文の記録が存在しない必要があります。




通常、この種の「ハッキング」は、ストア所有者のメールをフィッシングするか、XSSを使用して管理セッションを削除してサイトの管理パネルにアクセスしようとすることになります。



http://xxxxxx.xxxx/contact.php?"><script>alert('XSS')<%2fscript>
      
      







ほとんどの場合、ピートはそれほど害はありませんが、いくつかの不快な瞬間をもたらします。



サイバー犯罪者。







PetyaはもはやPetyaではなく、Petr Petrovich全体であり、スタッフ、多数のクライアント、および大規模なTo Doリストを持つ秘書がいます。 オンラインストアは、トップの地位を占めており、注文の範囲と地域を拡大しています。 顧客には、サイト1000のロイヤルティプログラム、割引、ボーナス、1つの支払い方法があり、すべてお気に入りの顧客向けです。

当然のことながら、Peter Petrovichの利益を共有したい、または利益を得ようとする人がいます。

最初の例よりもはるかに多くの攻撃シナリオがあります。



良いトラフィックがサイトに来ており、彼らはそれを拾いたいと思っています。 いわゆるを満たすための脆弱性を検索する試みが行われています エクスプロイトパック(一連のエクスプロイト)をインストールするためのサイトへのiframe-ブラウザーとそのコンポーネントの既知の脆弱性をドライブバイ攻撃用に悪用し、悪意のあるコードを訪問者のコンピューターに配信するスクリプトのセット。 これは、通常のボットボットネット抽出または恐exのためのユーザー感染のいずれかです。



場合によっては、サイトは他のサイトを攻撃するために攻撃するか、いわゆるサイトとして使用するシステムに対する複雑な攻撃を行います。 散水穴。 散水穴攻撃はターゲット自体には影響しませんが、関連するインフラストラクチャには影響します。 Pyotr Petrovichのコンテキストでは、彼のサプライヤーは技術的な秘密を盗むために攻撃される可能性があります。 サプライヤ企業の従業員がPetr Petrovichのサイトを訪問し、悪意のあるコードに感染します。 実例を挙げれば、銀行があり、彼らはそれを強奪したいのです。そのためには、中に入る必要があり、アクセスカードが必要です。 近くには食料品店があり、完全に監視されていません。 銀行員は時々そこに行きます。 攻撃者は製品のすべての訪問者の頭をパイプでたたき、時には銀行員が出くわすこともあります。



ストアの顧客ベース-それ自体が販売され、さまざまな目的のために攻撃者に必要な情報、多くの選択肢がある理由、攻撃ベクトルを含めることができます。



プロの攻撃者の場合、攻撃の変動性と複雑さは何倍にもなります。 ホスティング自体または関連サイトの攻撃— AXFRを使用して、サイトのゾーン転送および可能なサブドメインに関する情報を収集します—テストまたは古いバージョンのサイト、技術インスタンス、システムに対する攻撃の分析および開発のためのリポジトリを使用します。



また、専門的なサービスやツールを使用して情報を収集します-Shodan、Foca、Maltego、Harvesterなど、いわゆる データ収集。



時々彼らはただ待つだけです。 HeartbleedやShellshockなどの共鳴する脆弱性、いわゆる ゼロデイ脆弱性-ゼロデイ。 通常、攻撃者の反応はオンラインストアの所有者の反応よりもはるかに先であり、攻撃者はなんとか攻撃を仕掛けます。



システム自体への攻撃ベクトルは、単純なものから複雑なものまで実践され、複雑な操作を構成できます。XSS/ CSRFの活用、SQLインジェクションの検索および「巻き戻し」は、会社の運用担当者に対する攻撃の前です。



承認およびサービスの形式のブルートフォース攻撃が行われ、社会技術的手法とフィッシングを使用してメールが実行されます。



ダウンロードしたファイルのバイパスフィルタリングの助けを借りて、いわゆる 侵害されたリソースを管理するためのサイトへのシェル。 たとえば、よく知られているエンジンの一部のバージョンでは、Arbitrary File Uploadクラスの脆弱性を介して、任意の.phtmlファイルをアップロードして実行することができました。



「fill」.pdfファイル。ほとんどの人は悪意のあるアクションを実行する機能に関連付けられていませんが、たとえば、次のようなJSデザインが含まれている場合があります。



オンラインストアのチケットシステムを介して支払い注文の形で配信される悪意のあるコードの例。 埋め込まれたPOST要求を使用してブラウザーでこのようなPDFファイルを開くと、追加のCMS管理者が作成されます。

 var a = Get("http://XXXXXXXX.XXX/admin/index.php") var sessid = (Substr(a,At(a,"token=")+7,32)) Post("http:// XXXXXXXX.XXX/admin/index.php?route=”XXXXXXXXXXXXXX”
      
      







XXEクラスの攻撃はXMLエンティティの導入であり、XMLトランスポートが広く使用されていることを考えると、このようなベクトルはますます頻繁に処理されます。



いわゆるエラーのクラス(およびそれらを悪用する攻撃の種類)の実装には、一時ファイルのパブリックリソースを変更する機能を介して、アプリケーションの動作に非特権的な影響を与える複雑な攻撃があります。 「レース状態」レース状態。 例は、phpinfo()を介したLFI(ロケールファイルインクルード)です。



狙われる可能性のある攻撃:ビジネスプロセスのロジックと標準機能の違反。 二重トランザクション、または二重支出攻撃の実施。 支払いゲートウェイおよびマーチャントシステムおよび支払いモジュールとの統合-支払いゲートウェイで商品の支払いを行った後、プラットフォームが提供するモジュールへのGETリクエストで送信されたパラメーターのフィルタリングが不十分なため、SQLインジェクション操作が発生します。 オンラインストアの所有者の多くは、モジュール開発者の不可fall性を盲目的に信じており、非常に悲惨な結果をもたらす可能性のあるセキュリティのビジョンを信頼しています。



保護。



セキュリティの問題は専門家によって最も信頼されており、雷が鳴るまで待たないでください。 インターネットビジネスに対する現在の脅威の詳細については、無料セミナー「ロシアのオンラインストアの安全性」ご覧ください。InSalesQratorPentestITが参加してSitesecureが実施しています。



「オンラインストアの所有者、マーケティング担当者、およびIT専門家向けのセミナー。オンラインストアサイトのセキュリティと、それらがオンラインストアの販売に与える影響に関する調査結果が発表されます。」




http://sitesecureru.timepad.ru/event/150547/



「ロシアのオンラインストアの安全性」というトピックに関するセミナーは、2014年11月20日(木)18:30から21:00まで、住所:29、モスクワ、7階Serebryanicheskaya Naberezhnaya(COOFRI; tceh)で開催されます。 参加は無料です。



All Articles