🔎Самые простые причины, из-за которых возможно взломать сайт, веб-приложения:
🔗Простой пароль администратора;
🔗Использование хеша без соли;
🔗Возможность запуска скриптов;
🔗Возможность реализации sql-инъекций;
🔗Несвоевременное обновление ПО;
🔗Излишнее полагание на WAF;
🔗Невнимательность разработчиков.
🗃Реальные кейсы:
👉Выложен наружу confluence с простым паролем. Для того чтобы его взломать ушло два дня перебора пароля с промежутком в 10-20 секунд. Этот промежуток между перебором позволил обойти WAF. Далее анализ полученной it-информации привел к описанию, как пользователю подключиться к песочнице по RDP. В песочнице стояли старые версии ОС, и это позволило найти хеш пароля локального администратора. Зашли в домен администратора.
👉Администраторы забыли закрыть доступ пользователей к публикации блогов. К чему это может привести? При регистрации на сайте, можно написать: «Мы стали банкротами!». А можно нажать загрузку картинки и залить через Burp Suite html файл. Это приведет к тому, что хакер может загрузить веб-страницу, реализующую сбор данных пользователей. При этом страница будет находиться под официальным доменом какой-либо компании.
👉Во время разработки сервиса был поставлен Swagger framework, затем сервис отправили в продакшн, а удалить Swagger Framework забыли. Опасность в том, что при подключении к swagger не нужно знать логин, пароль, токен авторизации. При таких условиях можно создать пользователей с правами администратора.
👉В сеть заказчика можно попасть и через сторонние сервисы. Был взломан Openam и организован туннель в сеть заказчика.
🔐Рекомендации по защите сегодня:
✅Постоянный мониторинг, поддержание и редактирование WAF;
✅Запрет доступа c иностранных ip-адресов с учетом рисков;
✅Отключение ненужных сервисов;
✅Рассмотрение возможности заключения договора со специалистами ИБ;
✅Настройка лимита на WAF;
✅Подключение к важным данным дается только определенным ip-адресам.
💭Поделитесь, как Вы справляетесь с атаками?