Rileva vulnerabilità e attacchi su una pagina web

Le minacce su Internet aumentano di giorno in giorno, quindi avere un sito Web sicuro è molto importante per ogni webmaster. Alcuni attacchi sono:

  • L'uomo nel mezzo attacca lo spoofing MITM
  • Spoofing DHCP
  • Shellshock semplice
  • Rubare il porto
  • Registratore di tasti
  • SQL Injection
eccetera.

Molti siti Web vengono attaccati alla ricerca di vulnerabilità per infettarli con trojan o virus crittografati per eseguire il codice sorgente dal sito Web attaccato. Questo tipo di virus può provenire da codice javascript in modo che l'antivirus non possa rilevarlo facilmente per script in php o altri linguaggi.

La forma più conosciuta e più utilizzata è la crittografia degli script che utilizza i comandi eval, base64_decode, base64 o base64_decode. Questo tipo di codice viene utilizzato per generare grandi quantità di spam, attaccare altri server, disabilitare un servizio server, prendere il controllo del Web o rendere il Web inutilizzabile.

Il webmaster o il webmaster non si renderanno conto di ciò che accade fino a quando il web non sarà bloccato per spam o sospeso a causa dell'elevato consumo di risorse. Se gestiamo noi stessi il server, possiamo realizzare questa situazione osservando i registri di sistema e firewall che mostreranno che sta accadendo qualcosa di insolito, soprattutto se c'è un consumo eccessivo di risorse o e-mail massicce.

I difetti di sicurezza o le carenze di programmazione sono le cause più frequenti di vulnerabilità, pertanto vengono attaccati sfruttando una delle seguenti vulnerabilità:

1. Difetti di sicurezza che mettono a rischio un sito web


Iniezione di codice
Questa tecnica consiste nell'invio di codice tramite l'url e che questi dati non vengano convalidati quando eseguiti dal web, le iniezioni sql e php più frequenti. Per trovare possibili siti è necessario cercare su Google Web che contengono una variabile nel loro URL, ad esempio
 inurl: articolo.php?id =
Vedremo come appaiono le varie pagine web, cambiando la pagina e l'id troveremo siti potenzialmente vulnerabili.

Prendiamo un web a caso dall'elenco fornito da Google e inviamo una variabile "a" nell'id, il risultato è più che chiaro, il web è vulnerabile.

Per evitare questo problema, dovresti verificare che i dati inseriti da url siano validi ed evitare anche di visualizzare messaggi di errore, nel caso in cui la query SQL fallisca e debba essere inviata a una pagina di errore controllata dall'amministratore web. .

Sessioni e cookie
Questo tipo di vulnerabilità è dovuto all'uso improprio delle sessioni quando l'utente utilizza i log o l'autenticazione per accedere a qualsiasi sezione del web. Dobbiamo fare attenzione a crittografare le informazioni che memorizziamo nelle sezioni e nei cookie per impedire che vengano lette e utilizzate da un utente malintenzionato.

Scripting tra siti (XSS)
Questo tipo di vulnerabilità è molto frequente e come le precedenti, funziona quando un parametro viene inviato tramite url e non viene effettuata una corretta validazione dei dati inseriti nei parametri.

Un semplice esempio per verificare se il nostro sito Web è vulnerabile agli attacchi XSS o l'iniezione di codice può essere:

 http://www miodominio.com.com/index.php?variable=
In questo caso, l'attacco mostrerà solo un messaggio di avviso sul computer dell'utente che visita il web poiché iniettiamo solo JavaScript nel codice html dal web. Questo perché la variabile non convalida l'inserimento di codice errato.

Un esempio in cui viene visualizzata la vulnerabilità in cui è possibile inserire una pagina di accesso html completa per sostituire il modulo. E reindirizzalo su un altro server:

Impostazioni scadenti o permessi errati: Questo tipo di vulnerabilità si verifica quando configuriamo male i servizi del server o quando concediamo autorizzazioni improprie agli utenti.

AttenzioneSe si tratta di un VPS o di un server dedicato dobbiamo stare molto attenti ai file e alle directory sensibili del sistema operativo

Tutto ciò che si riferisce al sistema funzionale del server dovrebbe essere il più limitato possibile, essere amministratore solo dall'utente root. Nel caso di sviluppo web o di utenti diversi, dobbiamo assegnare i permessi di accesso a risorse diverse e i file di un'applicazione web devono avere un utente e un gruppo che accederanno ai diversi servizi del server web.

2. Strumenti di rilevamento


VirusTotale
È uno strumento di scansione online fornito da Google, ispeziona rapidamente i file di un sito Web che questo antivirus trova sul server, utilizza alcuni dei motori antivirus più noti come Panda ActiveScan, Bit Defender, McAfee FreeScan, ecc.

Questo strumento viene utilizzato solo per uno scanner, non per pulire o disinfettare il web.

Avviso lista nera
BlackListAlert.org è uno strumento online ampiamente utilizzato che offre una ricerca gratuita se il nostro indirizzo IP o il nostro sito Web è in una lista nera. Se durante la ricerca per dominio o per IP il sito Web appare in alcune delle black list, non possono essere rimossi dall'elenco da BlackListAlert, ma fornirà un collegamento See Why per vedere i motivi per cui siamo in detta lista nera.

INGRANDIRE

Se compariamo in una lista nera potremmo avere seri problemi di posizionamento SEO. Per cercare di uscire dalla lista nera senza dover cambiare dominio o IP, dobbiamo contattare l'amministratore del sito web che ci sta mettendo nella lista nera. Dovremo spiegare qual era il problema in questo modo l'amministratore della lista nera può indagare sulla situazione in modo che il web e l'IP siano sbloccati.

MXToolbox
MXToolbox.com offre una serie di strumenti online per verificare le prestazioni, funzionamento e reputazione di un dominio o ip. Se con questo strumento verifichiamo anche di apparire in una lista nera, dobbiamo evitarlo tramite firewall, antispam o sospendendo il dominio per poter fermare l'invio di email di spam.

Il lista nera o RBL (Elenchi Blackhole in tempo reale) memorizza gli indirizzi IP di server e provider di servizi Internet che inviano e-mail in modo eccessivo e quindi sono sospettati di generare spam, se il nostro server o sito Web ha ricevuto un attacco di bombardamento di spam o qualche vulnerabilità consente l'invio di spam, possiamo anche entrare in una lista nera.

Per risolvere il problema dobbiamo assicurarci di correggere la vulnerabilità e assicurarci che non ci siano email o file che ho ancora usato per questo scopo dannoso, altrimenti potremmo avere di nuovo problemi, è anche importante cancellare la porta 25, che è ampiamente utilizzato per l'invio di spam e attacchi di posta elettronica.

Per rimuovere l'ip da una lista nera da MXToolbox faremo quanto segue:

  • Andiamo alla home page e inseriamo l'opzione Blacklist, inseriamo l'IP che vogliamo controllare, quindi facciamo clic sul pulsante Controllo della lista nera.
  • Per eliminare l'IP o il dominio da un elenco specifico, facciamo clic sul pulsante Dettaglio.
  • Sotto vedrai un clic cbl.abuseat.org/lookup.cgi?ip=mio ip

Qui sono indicati i motivi del blocco e che dobbiamo correggere per pulire il nostro IP dalla lista nera e fare il reclamo corrispondente, controlleranno che il problema sia risolto, se non correggiamo il problema l'IP rimarrà in nero elenco per sempre. Con questi strumenti possiamo anche sapere se il nostro dominio è in una lista nera, lo stato dei server DNS, lo stato dei server di posta, analizzare lo stato di salute del dominio comprendendo l'analisi di dns, posta, problemi ai servizi web, ecc.

Per finire il tutorial ve ne lascio uno che è stato realizzato dove vengono spiegate le comuni minacce informatiche a cui siamo esposti quotidianamente: Minacce e vulnerabilità comuni.

Ti è piaciuto e hai aiutato questo Tutorial?Puoi premiare l'autore premendo questo pulsante per dargli un punto positivo
wave wave wave wave wave