Обнаруженные уязвимости: веб-хосты недостаточно защищают от злоумышленников
Сайты по-прежнему процветают. Пользователи покупают домены как пруд пруди, а создание веб-сайта с простыми системами CMS — почти детская игра. Пользователи полагаются на базовую систему безопасности, которая эффективно защищает их от опасных атак. А как насчет возможности взлома доменов? Вы можете узнать, насколько хороша защита, используемая веб-хостингами, в этой статье.
В путешествии открытий
Домены не так хорошо защищены от атак, как мы думаем. Исследователь безопасности Паулос Ибело отправился в путь открытий и нашел золото. Ему относительно легко удалось обойти частично существующую защиту CSRF (Cross-Site-Request-Forgery). С помощью CSRF система подвергается атаке таким образом, что транзакция выполняется в веб-приложении. Фальсифицированный HTTP-запрос гарантирует, что жертва выполнит желаемое действие. Все это происходит при регистрации пострадавшего.
Либо веб-хостинг выполняет свою работу, либо вас взломают
И тогда скоро его взломают! Пять крупнейших веб-хостов в мире пострадали от серьезных пробелов в системе безопасности. Уязвимости появились в Dreamhost, Bluehost, HostGator, OVH и iPage. Всего там зарегистрировано 7 миллионов доменов. В случае крупномасштабной атаки это могло бы нанести огромный ущерб. Таким образом можно управлять целыми веб-сайтами. Как такое возможно?
Когда стандарты безопасности для кошки
Разумеется, соблюдение простых стандартов безопасности — это не вопрос. В некоторых случаях веб-хосты легкомысленно относятся к логинам и изменениям учетной записи. Запрос пароля, по-видимому, выполняется не всегда, так что злоумышленникам действительно легко.
Хост в США
Почти все веб-хосты находятся в США и относительно быстро отреагировали на бреши в безопасности. Все провайдеры, кроме одного (европейский хостер OVH), отреагировали на результат теста, немедленно закрывая пробелы в безопасности. Каким будет подобное испытание на европейском континенте GDPR?
ВЫВОД
Далеко не всегда домены должным образом защищены от атак. Веб-сайтами можно даже манипулировать таким образом, чтобы иметь место фишинг, рассылка спама или атаки методом грубой силы на другие цели. Иногда вредоносное ПО устанавливается на компьютеры посетителей сайта. Косвенный ущерб не совсем незначительный. Не полагайтесь автоматически на каждый веб-хостинг в выполнении своей работы. Защитите свои данные!
Те: heise.de; Фото: pixabay.com