Varnost spletnih portalov

Varnost spletnih portalov

Spletni portali vedno pogosteje postajajo tarča napadalcev, kljub temu, da se na prvi pogled zanje
morda ne zdijo najbolj zanimivi. Napadalci v spletne portale vdirajo s pomočjo različnih metod, nato
pa izvajajo t. i. e-mail relay spam napade, širijo izsiljevalske viruse ali pa strežnike uporabijo za
gostovanje protizakonitih programov ter v veliko primerih tudi kot del botnet omrežja (ki ga nato
uporabijo za napadanje drugih tarč) ali pa celo za rudarjenje kriptovalut.
V nadaljevanju navajamo nekaj izhodišč, na katere moramo biti pozorni v povezavi s to tematiko.

SQL injiciranje

Napadalci se pogosto poslužujejo t. i. SQL injiciranja in SQL napadov. Gre za tip napadov, kjer
zlonamerna oseba v obrazce na spletni strani ali v URL parametre vnaša različne ukaze. Če
uporabniški vnosi niso pravilno "prečiščeni", jih sistem lahko zazna kot ukaz. Na tak način lahko
napadalec na primer pridobi, spremeni ali izbriše podatke iz podatkovne baze.
Različni CMS sistemi so načeloma varni pred takšnim tipom napadov, bolj so ranljive aplikacije ali deli
le-teh, ki so plod lastnega razvoja, pri čemer razvijalec morda ni upošteval potrebnih korakov za
zaščito pred tovrstnimi napadi. Najboljša zaščita je torej upoštevanje primerov dobre prakse pri
programiranju in "sanitizacija" vseh parametrov ter uporabnikovih vnosov na spletni strani.

XSS napadi

Podobno kot s SQL injeciranjem napadalci s pomočjo XSS napadov vdirajo v spletne portale tako, da
vanje vstavijo zlonamerno kodo ali skripto, ki se izvrši v uporabnikovem brskalniku (v primeru XSS je
to JavaScript). Takšni napadi napadalcem omogočajo manipulacijo z vsebinami portalov na strani
uporabnika, v redkih primerih pa tudi manipuliranje in daljinsko vodenje uporabnikovega
računalnika. Zelo znan način za preprečevanje takšnih napadov je implementacija CSP-ja (ang.
Content Security Policy), ki brskalniku omeji izvrševanje JavaScript kode.

Uporaba HTTPS

HTTPS je protokol, ki nudi varnost na spletnih portalih. HTTPS uporabnikom zagotavlja varen in
kriptiran prenos, napadalcem pa preprečuje prestrezanje komunikacije uporabnikov. HTTPS nam nudi
tisti dodatek k varnosti, ki jo kot uporabniki pričakujemo od ponudnika spletnega portala.
Lastniki in upravljalci spletnih portalov morajo poskrbeti, da njihova storitev uporablja HTTPS in da je
ta pravilno implementiran. Še posebej je to pomembno pri spletnih straneh, kjer se obdelujejo
uporabniški podatki. Primer bi recimo bil, da lahko napadalec prestreže podatke kreditne kartice na
strani, ki ne uporablja HTTPS, medtem ko mu HTTPS protokol to onemogoča.
V primeru, da spletni portali ne uporabljajo HTTPS certifikatov ali protokolov za vso vsebino znotraj
spletnih strani, lahko kot uporabniki izboljšamo varnost pri uporabi spletnih storitev s pomočjo
različnih dodatkov za brskalnike. S pomočjo dodatka, kot je na primer HTTPS Everywhere, lahko
uporabniki "prisilimo" uporabo HTTPS protokola.

Gesla

varna geslaGesla so pomemben del spletnih portalov, saj lahko z njihovo pomočjo omejimo, do česa sme
uporabnik dostopati in kaj lahko dela znotraj samega portala. Če administratorji in uporabniki spletne
strani nimajo dovolj dobre strategije za generiranje gesel, lahko napadalci pridobijo dostop do
nadzornega mesta strežnika s pomočjo administratorskih portalov, kot so na primer cPanel,
phpMyAdmin, WordPress ipd.
Zato je zelo pomembno, da uporabljamo močna in varna gesla, ki morebitnim napadalcem otežijo
dostop do podatkov. Priporočljiva je uporaba gesel, ki so dolga 12–14 znakov in vsebujejo tako male
kot velike črke, pa tudi številke in znake.

Posodabljanje

Do vrste nevšečnosti lahko pride tudi zaradi neposodobljenih datotek na spletnih portalih. Napadalci
lahko ugotovijo, katera verzija dodatkov se nahaja na spletnih portalih, pa tudi kakšne so varnostne
napake in pomanjkljivosti specifičnih verzij. Na tak način lahko pridejo do različnih informacij z
določenega spletnega portala in v nekaterih primerih tudi pridobijo dostop do portala. Z rednim
posodabljanjem infrastrukture in programske opreme se takšnim scenarijem lahko izognemo, saj
tako poskrbimo za boljšo varnost.

Naročite se na
brezplačni posvet ali stopite v stik