Računalništvo, telefonija
Aplikacije in dodatni programi
Varnost
03.02.2021 15:15
Posodobljeno 4 leta nazaj.

Deli z drugimi:

Share

Pogoste ranljivosti pri spletnih aplikacijah

Pogoste ranljivosti pri spletnih aplikacijah
Pogoste ranljivosti pri spletnih aplikacijah

Čeprav večina ljudi misli, da so danes spletne aplikacije bolj varne kot nekoč, je resnica veliko manj optimistična. Aplikacije, ki so zaščitene s pregledovalnikom ranljivosti, so vse bolj varne. Nasprotno velja za aplikacije, ki niso zaščitene, te imajo veliko več ranljivosti.


Kaj je ranljivost?

Ranljivost je napaka v aplikaciji ali napravi, ki jo lahko zlonamerni hekerji izkoristijo za dosego cilja, kot je kraja občutljivih informacij, ogrozitev sistema tako, da postane nedosegljiv, ali poškodujejo podatke. Ranljivosti vrstimo glede na njihovo resnost: visoka, srednja, nizka.

Poglejmo si nekaj ranljivosti, ki se kljub dolgoročnemu obstoju še vedno pojavljajo pri spletnih aplikacijah.

SQL Injection (SQLi) in Blind SQL Injection

SQL Injection ali vrinjenje SQL stavkov je možno, če razvijalec ne preverja uporabniških vnosov. Posledično lahko napadalci preko nepreverjenih vnosnih polj vrinejo SQL poizvedbeni stavek, ki se nato izvede na bazi podatkov. Takšna poizvedba lahko razkrije, doda, spremeni ali izbriše tako zapise kot tudi celotne tabele podatkov.

Blind SQL Injection je bolj zapletena različica SQLi. Napadalci ga uporabljajo, kadar tradicionalni SQLi ni mogoč. Slepe SQL injekcije zahtevajo veliko časa in veliko število zahtev. Skrbnik sistema lahko napad opazi tako, da z uporabo preprostih orodij za nadzor dnevnikov preveri veliko število zahtev.

Kljub temu da se je SQL vrinjenje prvič pojavilo v 90ih letih in dandanes vsa glavna razvojna okolja vključujejo orodja za njegovo odpravo, se ranljivost še vedno pogosto pojavlja.

Cross-site Scripting (XSS)

XSS napad se zgodi, ko napadalec vrine zlonamerno skripto na spletno stran, običajno JavaScript. Interaktivne spletne aplikacije morajo izvajati skripte v lokalnem brskalniku, kar omogoča »cross-site« – medsebojno skriptiranje.

Tovrstna ranljivost je možna, če razvijalec na spletni aplikaciji ne preverja uporabniških vnosov. Če uporabnik vključi JavaScript kodo v vnosni obrazec in spletna aplikacija ta vnos uporabi neposredno na strani, to zagotavlja ranljivost XSS.

Za boj proti tem napadom lahko uporabite CSP (Content Security Policy), vendar ta funkcionalnost še vedno ni dovolj priljubljena med spletnimi razvijalci.

Ranljive JavaSkript knjižnice

JavaScript knjižnice omogočajo hitrejši in enostavnejši razvoj spletnih aplikacij, vendar so nekatere verzije knjižnic lahko ranljive.

Cross-site Request Forgery (ponarejeni zahtevki)

Ranljivost se pojavi, ko spletni strežnik prejme nepooblaščeno zahtevo s strani znanega brskalnika. Zahteve, ki jih brskalnik pošlje strežniku lahko vključujejo uporabniške piškotke seje – to se zgodi skoraj vedno, ko je uporabnik že prijavljen na spletno mesto.

Napadalec lahko ustvari zlonamerno povezavo, ki mu omogoči izvedbo določenega dejanja, na primer prenos finančnih sredstev z uporabnikovega bančnega računa na drug račun. Napadalec lahko to povezavo postavi na spletno mesto in prepriča uporabnika, da klikne to povezavo (socialni inženiring). Ko uporabnik klikne povezavo, se zahteva pošlje strežniku in ker je uporabnik že prijavljen, strežnik izvede dejanje z njegovim računom.

CSRF ranljivost je prepogosto spregledana, glede na to da so lahko posledice zlorabe uničujoče. Neustrezna zaščita lahko vodi v krajo podatkov, gesel ali celo nezaželen prenos finančnih sredstev.

Šibka gesla in manjkajoča zaščita proti Brute-Force napadom

Šibka gesla so po navadi kratke in pogoste besede ali privzete vrednosti. Napadalec lahko zlahka ugane takšno geslo, ko naleti na poziv za prijavo. V nekaterih primerih lahko z »dictionary« napadom ugane šibko geslo, v drugih primerih pa so šibka gesla preprosto privzete kombinacije uporabniškega imena in gesla, kot sta admin/admin ali admin/geslo.

Veliko število napadov se začne pri šibkih geslih, okoli 28% spletnih aplikacij pa ne vsebuje zaščite pred »Brute-force« napadi. To pomeni, da lahko napadalec neskončnokrat ugiba prijavno kombinacijo.

Se želite prepričati, če je vaše spletno mesto varno?

Sporočite svojo željo na info@adm-adria.eu ali telefon 059 251 955 in z veseljem vam bodo v podjetju ADM-Adria pomagali in svetovali.


Prijavi napako v članku

Povezave

Članek je pripravljen v sodelovanju s partnerjem ADM ADRIA d.o.o.
Za več informacij so vam na voljo pri ADM ADRIA d.o.o.
Ob kontaktu povejte, da ste objavo zasledili v Računalniških novicah.

Kako in kje začeti za večjo varnost podatkov?

Želite biti obveščeni o novostih, ki jih pripravljamo s partnerjem ADM ADRIA d.o.o.? Vpišite svoj e-mail in se prijavite na BREZPLAČNE e-novice, od katerih se lahko kadarkoli odjavite.




Kaj berejo drugi?

Partnerji Računalniških novic Prikaži vse

Minevra, Matjaž Kramar s.p.

Krallova 31, 8000 Novo mesto, Tel: 041-649-387
Kaj lahko za vas naredi podjetje Minevra? Živimo v digitalni dobi, kjer prevladuje računalniška in tiskalna oprema. Iskanje sebi primerno opremo je izziv in za mnoge zamudno opravilo. ... Več

MAT3, MATEJ BOŽIČ s.p.

Vipavska cesta 2c, 5270 Ajdovščina, Tel: 031 200 701
MAT3 Podjetje MAT3 Matej Božič s.p. je bilo ustanovljeno v letu 2013. Njihov cilj? Postati uspešno podjetje na področju servisa računalnikov, fotografiranja in izdelave spletnih ... Več
Zlati partner

COMTRADE d.o.o.

Letališka cesta 29b, 1000 Ljubljana, Tel: 08 160 52 00
Comtrade je podjetje z dolgoletno tradicijo razvoja IT rešitev in storitev razvoja programske opreme. Svojim strankam zagotavljajo visoko usposobljenost za iskanje strokovnih rešitev ... Več

REDOLJUB d.o.o.

Skladišče: Pot heroja Trtnika 45, 1261 Ljubljana - Dobrunje, Tel: 070 377 577
Se sprašujete, kje lahko na enem mestu dobite pisarniške potrebščine, opremo in potrošni material? Leta 1990 je podjetje Redoljub začelo z vzdrževanjem redu v slovenskih in ... Več