5 מתקפות הסייבר הנפוצות על אתרי אינטרנט

אתרי אינטרנט איומי הסייבר

5 מתקפות הסייבר הנפוצות על אתרי אינטרנט

המעבר לעולם הדיגיטלי מציב בפנינו אתגרים חדשים וסכנות משמעותיות. ממשק אינטרנטי שדרכו ניתן לנהל קשר מול הלקוחות ועובדי הארגון הוא חיוני להמשך קיום הארגון, אולם ה-Open Web Applications יכולים להוות דלת כניסה לגורמים זדוניים המעוניינים לשבש את פעילות הארגון.

פרויקט ה-OWASP הוא קהילה אינטרנטית המספקת מידע, מאמרים, מתודלוגיות וכלים בתחום אבטחת אתרים אפליקטיביים. אולי המסמך המוכר ביותר של הקהילה הוא ה-OWASP Top 10– עשרת האיומים החמורים ביותר על אתרים אפליקטיביים, לשנה הנוכחית. אנחנו אספנו בשבילכם מידע על חמשת איומי הסייבר הקריטיים ביותר לשנה הנוכחית, ואיך תוכלו להתגונן מפניהם.

מתקפת XSS

נכלל תחת קטגוריית ה-INJECTIONS, מתקפת XSS היא הזרקת קוד לתוך שדות טופס של אתרים ואפליקציות- למשל טופס הרשמה, התחברות, השארת פרטים או חיפוש. 

איך היא עובדת? כל האתרים של ימינו בנויים על ידי JAVASCRIPT, שפת תכנות הפופלרית ביותר, וגם אהובה מאוד בקרב מתכנתים בגלל היכולות החזקות שלה במקרה הזה לטעון בעמוד כל מה שמגדירים לה. איך מגדירים לה לטעון דברים? בעזרת קוד יחסית קל ללמידה שמשמש בסימנים רבים כמו סימן ה-/ כדי לסמן התחלה וסיום של פקודה ובקשה. אבל  היא מסוכנת,  כי אם יוצרי האתר שכחו להוסיף / באחד מהמקומות המועדים לפירעון כמו שדות הטופס, ניתן לגרום לעמוד לטעון פקודה שניתנה לה על ידי גורם זדוני.

מתקפת XSS היא המתקפה הנפוצה ביותר על אתרים אפליקטיביים, יותר מ-40% מכלל מתקפות אלה מבוצעות על ידי שיטה זו. מאוד קל לבצע אותה- קל לשכוח להוסיף את סימן ה- / בכל מקום שצריך, למרות שיש למכנתי אתרים הרבה מאוד כלים שעוזרים להם לאתר ולזהות את המיקומים בהם חסר סיום פקודה.

wordfence-vulnurbility-by-type.

סוגי XSS

XSS Stored

קורה באתרים בהם ניתן להגיב כמו בלוגים או אתרי רשתות חברתיות. האקר רושם באחד התגובות קוד של JAVASCRIP ושולח את התגובה, כמו תגובה רגילה. כעת הדפדפן יריץ את הקוד שהוזרק כל פעם שתהיה טעינת עמוד חדשה של העמוד הספציפי הזה, והקוד יבוצע עם כל טעינת עמוד חדשה. לרוב נשלחים עוגיות וכדומה.

Reflected cross-site scripting

לרוב מתחיל במתקפת פישינג, על ידי שליחת לינק זדוני לאימייל של הקורבן, לדוגמא לינק מעקב אחרי משלוח. הקורבן לוחץ על הלינק, ואם האתר פגיע הוא יריץ את הקוד וישקף את הקוד חזרה ליוזר, והעמוד הנטען ישקף את הקוד Javascript. לרוב הקוד מבקש לשלוח מידע חזרה להאקר. מתקפה זו היא נקודתית, כלומר על היוזרים ללחוץ על הלינק הספציפי שנשלח, בניגוד למתקפה הקודמת.

שימושים של מתקפת XSS

  • התחזות למשתמש אחר
  • ביצוע כל פעולה שהקורבן יכול לבצע
  • רישום פרטי המשתמש והסיסמא של הקורבן
  • לבצע שינויים ויזואלים לאתר- הצגת תכנים לא נכונים
  • הזרקת סוס טרואיני לאתר שנועד לגנוב/ להרוס/ לשבש את המידע המאוחסן באתר או ברשת 

הזרקת SQL

גם כן תחת קטגוריית מתקפות הזרקה, ה-SQL דומה מאוד לקודמו רק שהוא מנסה לשלוף מידע ממסד הנתונים של האתר. גם מתקפה זו מזריקה קוד למקומות רגישים באתר לדוגמא שדות טופס ושדות חיפוש, וכאשר מבוצעת על אתר לא מוגן יכולה לשלוף ממסד הנתונים של האתר מידע כמו שמות משתמש וסיסמאות.


שני דרכים עיקריות להגן על האתר מפני הזרק SQL, ורצוי לנקוט בשתיהן: 

בדיקת תקינות הקלט- על המתכנת לבדוק את כל הנתונים המגיעים משדות המשתמש:

  • שדות טקסט- על הערכים בשדות אלה להכיל רק אותיות ומספרים, ללא תווים מיוחדים
  • יצירת מנגנון שגיאת מערכת כאשר יש ניסיון להחדרת קוד. אם מדובר באתר בעברית אז מומלץ לבצע את שיטת ההחלפה כי הסימן גרש נמצא בשימוש תקין
  • נתונים הנשמרים על עוגייה ניתן לערוך בצד המשתמש ולכן יש לבדוק גם אותם.

שימוש במבנה קשיח יותר של שאילתה- שפות התכנות השונות מציעות פתרון עדיף לבעיה, על ידי כך שהמתכנת יכול להכין שאילתה מובנית ולשים "שומרי מקום" (placeholder) במקומות שאליהן יוכנס אחר כך הנתון הנקלט מהמשתמש. 


מניעת שירות DDOS

מדובר ניסיון להפוך שירות אינטרנטי- כמו אתר- ללא זמין למשתמשים שלו, לרוב על ידי שיבוש זמני של השרת עליו מונח האתר- ומכאן מגיע שמו "מתקפת מניעת שירות".

איך מתקפת DDoS עובדת?

ישנם המון סוגים של DDoS, אבל העיקרון הוא להציף את האתר והשרת שלו בתנועה זדונית שתגרום להשבתה בשל עומס יתר, וזאת על ידי שימוש במכשירים רבים שנפרצו פעם ומנוצלים ללא ידיעת משתמש המכשיר. כעת כבר ניתן לראות את ההאקרים משתכללים ומשתמשים ב-AI (אינטליגנציה מלאכותית) כדי לבצע מתקפות אלה. אך לא הכל שחור בעתידנו, ובמקרה הזה הרעל הוא גם התרופה- ניתן להשתמש באינטיליגנציה מלאכותית כדי לחפש את נקודות התורפה של המערכות, במיוחד אם יש כמות גדולה של מידע.

DDOS ATTACK

מתקפות מסוג זה נפוצות מאוד משום שהם לא מסתמכות על חולשת אבטחה, אלא על המגבלות של שרתי אתרים שכנראה לא מסוגלים להכיל תנועה רבה. חברות בעלות משאבים רבים לרוב ישקיעו בשרתים מיועדים שמסוגלים לעמוד בתנועה רבה, אך רוב הארגונים מאחסנים את אתר שלהם על שרתים משותפים. רק השנה (2022) מערך הסייבר זיהה מתקפה מסוג זו על אתרי הממשלה, כנראה על פי החשד על ידי קבוצת תקיפה איראנית.


מתקפת MITM

האדם באמצע היא אולי השיטה הקשה ביותר לזיהוי ע"י מי שאינו מומחה. ה-MITM מתרחש כאשר על האקר ממקם את עצמו בין המשתמש לספק השירות, בין אם כדי "להאזין לתקשורת" ביניהם או בין אם כדי להתחזות לאחד מהצדדים. מטרת המתקפה היא לגנוב מידע אישי- פרטי כרטיס אשראי, סיסמאות ומידע על חשבונות- ולרוב מתרחש בתקשורת בין משתמשים לחברות פיננסיות, SaaS, חנויות אינטרנטיות ואתרים שיש בהם צורך בכניסה לחשבון.

  • יירוט– מי היה מאמין שהמושג הזה יהיה רלוונטי מחוץ לדיון על כיפת ברזל, אבל גם עולם הסייבר מלא במלחמות. בשלב זה ההאקר מנסה ללירט את ההתקשרות בין המשתמש לספק השירות, לרוב על ידי יצירת hotspot חינמי וציבורי. ברגע שהקורבן מתחבר ל- hotspot ללא צורך בסיסמא, לתוקף יש גישה מלאה לתקשורת האינטרנטית.
  • פענוח– לאחר יירוט התקשורת האינטרנטית של המשתמש, צריך לפענח את המידע המתקבל בלי להתריא על כך למשתמש- ניתן להשתמש בהפשטת או חטיפת SSL, וב-HTTPS Spoofing.

מתקפת כוח- Brute Force

כמו עוגת גבינה, גם מתקפות הסייבר הכי פשוטות הן הטובות ביותר.

כל מה שצריך לעשות זה לגלות את הסיסמא של שם המשתמש של המערכת על ידי מעבר שיטתי של כל הסיסמאות האפשריות- כמו שעושים במנועלים פיזיים. 

אם יצא לכם להיתקל בתמונה המופיעה מעל, זה לא במקרה. טבלת ה"כמה הסיסמא שלכם קשה" היא התגובה הכי נכונה למתקפת BRUTE FORCE, ומדגישה כמה פשוט לפרוץ לכם לסיסמא. 

באופן אירוני לחלוטין, במשך 20 שנה במהלך המלחמה הקרה בין ארצות הברית לברית המועצות לשעבר, סיסמאות השיגור לטילים הגרעיניים של ארצות הברית הייתה לא אחרת מאשר-  00000000. כן, קראתם נכון, ההנהגה הצבאית שמה דגש רב על היכולת להגיב במהירות למתקפה רוסית והחליטה שהדרך הטובה ביותר היא על ידי קביעת סיסמא של 8 פעמים 0. על פי הטבלה והמערכות של היום, היה אפשר לפרוץ את הסיסמא במיידי.

כדי לבצע מתקפת brute force מריצים קוד שמנסה להתחבר לאתר באמצעות כל הסיסמאות האפשריות. כשלא יודעים על דפוס סיסמאות, כלומר ניחוש מוחלט, מתחילים מהסיסמאות הקצרות וכאשר כל האפשרויות עבור סיסמה באורך מסוים מוצו עוברים לסיסמאות באורך גדול ב-1. 

כאשר כן ידוע משהו על הסיסמה, למשל שהיא תאריך, אפשר להריץ את כל התאריכים האפשריים באופן סדרתי. 

אפשר גם להריץ את כל הסיסמאות הכי נפוצות. 

כמה שקל להריץ אותה, ככה קל למנוע אותה. כל מה שצריך לעשות זה להגביל עבור כל משתמש את מספר נסיונות ההתחברות שאנחנו מאפשרים בכל פרק זמן נתון. ולמרות זאת, תתפלאו למצוא את הפרצה הזו אפילו בפייסבוק, כפי שניתן לראות בפוסט שנכתב על ידי מתכנת שמצא דרך לעקוף את החסימת משתמש.הוא גילה את הדבר להנהלת פייסבוק וקיבל פרס של 15 אלף דולר. 

האם הסיסמא שלכם מוגנת

הגנה מפני איומי הסייבר על האתרים האפליקטיביים

בחירה נכונה של שרת האחסון- חשוב ששרת האחסון שנבחר להריץ עליו את האתר שלנו לא רק יתאים לתקציב שלנו, אלא יגיע עם חבילה מובנית של SSL ואבטחה נגד DDOS. שירות לקוחות זמין ומהיר חשוב לא פחות, ועדיף שתהיה אפשרות לסריקות איומי אבטחה אוטומטיות.

מבדקי חדירות אפליקטיביים- כדי למנוע שיבושים לאתר כמו פריצות, גניבת מידע ומניעת שירות, חברות רבות מבינות את החשיבות של בדיקות חוסן הבוחנות את מערכות ההגנה וממפות את נקודות החולשה של הארגון. חברות אבטחת מידע מבצעות בדיקות חדירות אפליקטיביות, שמתחלקות לרוב לשלושה סוגים:

  • Gray Box- מבדק החדירה הנפוץ יותר, שבה הבודק מקבל מידע מצומצם אודות הארגון ומערכות המידע. בחלק מהמקרים ניתנת לבודק גישה מוגבלת לרשת הארגונית והבדיקה יכולה להתבצע מחוץ או מתוך הארגון, תלוי לפי הסיכום הראשוני והמידע הניתן לבודק.
  • White Box- בבדיקות חוסן מסוג זה, הבודק מקבל את מלוא המידע אודות הארגון, לרבות פרטי מערכות המידע וההגנה, וזאת כדי לאפשר ביצוע בדיקה מקיפה ופרטנית ככל האפשר במטרה למצוא כמה שיותר פגיעויות.
  • Black Box- בדיקה זאת מתבצעת כבדיקה חיצונית, או לפחות כך היא מתחילה. במידה והבודקים מצליחים לחדור פנימה, הם יכולים להמשיך גם לתוך הארגון- עד לגבול שסוכם מראש.

לקריאה מלאה על כל סוגי מבדקי החדירות, עברו למדריך המלא שלנו לבדיקות חדירות.

שיתוף ב facebook
שיתוף ב twitter
שיתוף ב whatsapp
שיתוף ב linkedin

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 7/8/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 31/7/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

תקן ISO27001

המדריך המלא לעמידה בתקן ה-ISO 27001

ה- ISO 27001 הוא אחד מתקני אבטחת המידע המחמירים והמקיפים ביותר. גלו הכל על הרגולצייה שכל ארגון צריך לדעת עליו, והקלו על עצמכם בתהליך העמידה.

בואו נאפיין את הפרויקט שלכם

בואו לקבל דו"ח לדוגמא
של בדיקת חדירות

מבדק חדירות רדאנטרי

העדכונים האחרונים
בעולם הסייבר

חדשות סייבר

חדשות סייבר 7/8/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

חדשות סייבר

חדשות סייבר 31/7/2022

קראו את חדשות הסייבר של השבוע האחרון והתעדכנו בכל מה שקורה בעולם הסייבר ואבטחת המידע.

תקן ISO27001

המדריך המלא לעמידה בתקן ה-ISO 27001

ה- ISO 27001 הוא אחד מתקני אבטחת המידע המחמירים והמקיפים ביותר. גלו הכל על הרגולצייה שכל ארגון צריך לדעת עליו, והקלו על עצמכם בתהליך העמידה.