Video: lắc kiu lắc kiu ..rock u rock u (Tháng Chín 2024)
Đừng ám ảnh về các lỗ hổng zero-day và các cuộc tấn công nhắm mục tiêu rất tinh vi. Những kẻ tấn công có nhiều khả năng khai thác các lỗ hổng cũ hơn, đã biết trong các ứng dụng Web, vì vậy hãy tập trung vào vá lỗi cơ bản và vệ sinh bảo mật thay thế.
Một lỗ hổng được vá vào năm 2010 và một lỗ hổng khác trong năm 2009 là một trong mười lỗ hổng Web được nhắm mục tiêu thường xuyên nhất vào tháng Tư, Barry Shteiman, giám đốc chiến lược bảo mật của Imperva, nói với SecurityWatch. Bất chấp tuổi tác, cả những kẻ tấn công tư nhân và công nghiệp vẫn tiếp tục nhắm vào những lỗ hổng này, bởi vì những chiến dịch tấn công này là "sinh lợi". Cuộc tấn công không yêu cầu mua hoặc phát triển các khai thác 0 ngày đắt tiền "như những công cụ cũ cũng có sẵn rộng rãi, " Shteiman nói.
Những kẻ tấn công hiểu rằng các lỗ hổng cũ hơn là kết quả thấp của bảo mật ứng dụng Web. Những kẻ tấn công có thể tinh vi nếu chúng cần, và có những công cụ theo ý chúng để thực hiện các chiến dịch phức tạp. Nhưng tại sao phải bận tâm khi mọi người gắn bó với các phiên bản ứng dụng Web hoặc quản trị viên lỗi thời không duy trì lịch vá lỗi thường xuyên cho các ứng dụng. Vấn đề thậm chí còn phổ biến hơn trong số các ứng dụng được sử dụng rộng rãi, như phần mềm diễn đàn, hệ thống quản lý nội dung và thậm chí các công cụ thương mại điện tử, Shteiman nói.
Hệ thống có nguy cơ
Tất cả các lỗ hổng được nhắm mục tiêu trong tháng 4 là các cuộc tấn công tiêm chích, chẳng hạn như tệp và SQL tiêm và tất cả đã được vá. Lỗ hổng năm 2010 đã khai thác một vấn đề quản lý đặc quyền trong ZeusCMS 0.2 và lỗi năm 2009 là lỗi SQL trong Zen Cart 1.3.8 trở về trước. "Lỗ hổng dường như không bao giờ chết, " Shteiman nói.
Nếu những kẻ tấn công biết về một vấn đề trong một CMS và CMS đó đã được cài đặt 10 triệu lần, thì việc tìm kiếm các trang web chạy phiên bản phần mềm đó "có ý nghĩa", Shteiman nói. Nó đòi hỏi một số Google-fu khôn ngoan và không có gì khác.
Imperva cung cấp một biểu đồ về mười lỗ hổng hàng đầu được nhắm mục tiêu và ba điều bật ra. Lỗ hổng "mới nhất" trong danh sách là từ năm 2013. Có thể thấy bằng điểm CVSS, bản thân các lỗ hổng này không phải là lỗi nghiêm trọng, cực kỳ nghiêm trọng. Và bản thân việc khai thác không phức tạp.
Đã có rất nhiều cuộc tấn công hàng loạt chống lại phần mềm CMS phổ biến, bao gồm cả WordPress và Joomla. Với đủ các hệ thống dễ bị tấn công ngoài kia, sẽ rẻ hơn và dễ dàng hơn cho những kẻ tấn công tìm kiếm các hệ thống đó thay vì tạo ra các cuộc tấn công zero-day.
Tăng trong thế giới tiêm
Những kẻ tấn công chỉ sử dụng các vectơ tấn công hiện có và được phát hiện gần đây, Shteiman nói. Đây là lý do tại sao SQL SQL và kịch bản chéo trang vẫn là các vectơ tấn công phổ biến. Vấn đề SQLi đã được giải quyết mười năm trước, nhưng tỷ lệ tấn công vẫn còn cao. Kịch bản chéo trang chiếm 40 phần trăm các cuộc tấn công trong ba tháng qua và SQL tiêm là 25 phần trăm, ông nói.
"Nếu chúng tôi có cách chữa trị ung thư, bạn sẽ thấy tỷ lệ tử vong giảm. Nhưng đó không phải là trường hợp tiêm SQL", Shteiman nói.
Một cái nhìn nhanh về Miningit-db.com xác nhận những quan sát của Shteiman. Trong số bảy khai thác được liệt kê trong các ứng dụng Web, có năm cách xử lý bằng phần mềm sẵn có, chẳng hạn như WordPress, AuraCMS hoặc nền tảng kinh doanh xã hội Sharetronix. Các cuộc tấn công tiêm XSS và SQL cũng thường được liệt kê.
Quản trị viên, cho dù họ đang quản lý các trang web có hàng triệu người dùng mỗi ngày hoặc một trang web có sự hiện diện trực tuyến nhỏ hơn, cần phải đảm bảo họ thường xuyên vá phần mềm của họ. Nhiều nhà phát triển CMS đã đơn giản hóa quy trình cập nhật trong phần mềm của họ và có các công cụ giúp xác định tất cả các ứng dụng đã được cài đặt. Các tính năng không được sử dụng nên bị vô hiệu hóa.
Chắc chắn, các cuộc tấn công zero-day và các cuộc tấn công nhắm mục tiêu là đáng sợ. Nhưng nếu những kẻ tấn công đến lấy dữ liệu của bạn và trang web của bạn (và tỷ lệ cược cao sẽ có ai đó), đừng làm cho nó dễ dàng bằng cách có lỗ hổng trong phần mềm của bạn. Vá, chạy các công cụ đánh giá và tìm kiếm hành vi đáng ngờ. Cảnh giác là chìa khóa.
