サイトセキュリティ監査-リスクと脅威の特定

サイトセキュリティ監査（サイトの脆弱性の確認）は、Webリソースの安定した運用、データセキュリティの確保、リスクの軽減を目的とした一連の手順です。



経済状況が競争を含む新しいルールを決定していることは秘密ではありません。 「技術戦争」の前に、サイバースパイと破壊行為が主に多くの大企業または州全体であった場合、これらの方法は今や中小企業で非常にうまく使用されています。



オフライン企業のサイトは別として、今日は主な収入がインターネット活動に関連している商用ウェブサイトについてお話します。



サイトセキュリティ監査は、攻撃者がサイトの攻撃とハッキングに使用したサイトコードとサーバーソフトウェアのエラーを特定するための一連の作業です。



攻撃者が使用する動機は異なる場合があります。これは自慢のことであり、自分自身と「注文」に取り組んでいる両方の利益を求めています。



最新の「注目度の高い」例-フリーランスのやり取りをハッキングするFL.ru habrahabr.ru/post/251487

^{管理者に代わってクラッカーのメッセージのスクリーンショット}

ここでは、評判によってリソースが明らかに破損し、ユーザーの忠誠心が低下します。 新しいユーザーを引き付けるのは難しいかもしれません： www.google.ru/search?ie=UTF-8&hl=ja&q=FL.ru

FL.RUのリクエストによるGOOGLEの検索結果の結果として、2つ目はHabréのユーザーベースの流出に関するトピックです。



FL.RU交換のセキュリティ監査から得られるもの-リソース管理者のアカウントのパスワードの選択は、これらのアカウントの識別に役立ちます。 それらの実装に関する追加の推奨事項とルールは、このような面倒な見落としを避けるのに役立ちます。 信頼できないIPアドレスから重要な機能（ユーザーアカウント）へのアクセスが制限されていないため、状況は悪化しました。



会社のWebサイトをハッキングすることによる評判上のリスクは、当然、会社の収益性に影響します。 しかし、企業にとって価値のあるデータの盗難の直接的な脅威もあります。 オンラインアクティビティに関連する会社のウェブサイト-オンラインストア、電子取引所など。 -利益を上げるための主なツール-多くの場合、顧客のデータベースが含まれます。サービスがクライアントとの長期にわたる作業、繰り返し購入などを含む場合、さらに価値があります



また、会社への損害は、支払いデータの操作、入出力システムまたは支払いシステムでの不正な取引によって引き起こされる可能性があります。



サイトを攻撃する攻撃者は、条件付きで2つのタイプに分類できます。



1.私たちは悪いものすべてを取り上げます。



この種の攻撃者は、多数のサイトへのアクセスを取得し、基本的な手法を使用して、「ログにノイズを入れる」ことを試みます。 通常、これらの種類のサブジェクトは、一般的な脆弱性スキャナーでサイトをスキャンするか、特定のエクスプロイトの脆弱なCMSを探します。 彼らはユーザーベースといわゆるいわゆるiframeの両方に興味があるかもしれません。 エクスプロイトパック。

^{刑法第273条に基づく犯罪を犯す共犯者の検索}

Webアプリケーションのタイムリーなセキュリティ監査は、サイトの脆弱なコンポーネントと問題領域を識別するのに役立ちます。 推奨事項は、ハッカーの攻撃を撃退するための準備に役立ちます。



2.特定のターゲットを攻撃します。



この種の攻撃者は通常、特定のデータを取得または破壊するように動機付けられています。

^{「ハッカー」フォーラムでの発表}



この場合、攻撃者は受動的な方法に限定されません-攻撃ベクトルのあらゆる組み合わせを使用して、希望する結果が得られるまでサイトを攻撃する可能性が高いです。



通常、次のアクションを含む包括的なセキュリティ監査は、サイトのセキュリティを大幅に向上させるのに役立ちます。

• サーバーコンポーネントの脆弱性を検索します。
• サーバーのWeb環境の脆弱性を検索します。
• 任意のコードのリモート実行を確認してください。
• インジェクション（コードインジェクション）を確認します。
• Webリソース認証システムをバイパスしようとします。
• 「XSS」/「CSRF」の脆弱性の存在についてWebリソースを確認します。
• 特権アカウント（またはそのようなアカウントのセッション）をインターセプトしようとします。
• リモートファイルインクルード/ローカルファイルインクルードを試みます。
• 既知の脆弱性を持つコンポーネントを検索します。
• 他のサイトへのリダイレクトとオープンリダイレクトを確認します。
• ブルートフォースと「googleハック」を使用してディレクトリとファイルをスキャンします。
• 検索フォーム、登録フォーム、承認フォームなどの分析。
• 秘密情報や秘密情報を公然と受け取る可能性についてリソースを確認します。
• クラス「競合状態」の攻撃。
• XMLエンティティの埋め込み
• パスワードの選択。

サイトのセキュリティ監査は、企業のリソースのセキュリティの適切な評価、発見された脆弱性に関する完全な情報、考えられる攻撃シナリオ、およびそれらを排除するための推奨事項を取得できる予防的な手段です。 実際、これはイベントではなく、会社のサイトのビジネスプロセスの安全性を確保し、ビジネスの評判、経済成長、ビジネス開発を維持するための継続的なプロセスです。



サイトがサイバー犯罪者に攻撃されるまで待たないでください-専門家にサイトの包括的なセキュリティ監査を依頼してください。



安全に！