İş Riskleri Dikkate Alındı ​​İş Süreçleri Kusurları Güvenlik Riskleri

Güvenli bir Web sitesi çalıştırmak, yalnızca siteler arası komut dosyası oluşturma ve SQL enjeksiyon saldırılarına karşı koruma sağlamaktan daha fazlası anlamına gelir. Web sitelerinin altında yatan iş süreçlerindeki kusurlar da ciddi güvenlik riskleri sunabiliyor, bir Web güvenlik şirketinin CTO'su Perşembe günkü demişti.

Web sitelerinin süreçleri veya iş mantığı kusurları, korsanlara karşı oldukça kârlı olduğunu kanıtlayabilir. Kaynak Boston Security Showcase'de WhiteHat Güvenlik CTO'su Jeremiah Grossman, “istismar edebilecek ve bazen teknik olarak yasa dışı olmayacaktır” dedi.

[Daha fazla okuma: Windows PC'nizden kötü amaçlı yazılım nasıl kaldırılır]

Web sitesi tasarımlarında, Captcha kimlik doğrulama sistemlerinde ve kullanıcı ayrıcalıklarında bulunanlar dahil olmak üzere, bu kusurlara ilişkin çeşitli örnekler sundu. Onlardan yararlanan insanlar genellikle bir hizmet kullanmaktan men edilirler, bazen de yargılanmalarına rağmen.

2007'de bir kadın iş mantığında bir kusurdan faydalanarak 412,000 ABD Doları'ndan QVC'yi suçlamakla suçlandı. Evden alışveriş ağıyla 1.800 ürün sipariş verdi ve siparişleri Web sitesinde iptal etti. Malların iadesi için kredi aldı, ancak eşyaları ona yollandı ve eBay'de sattı, Adalet Bakanlığı söyledi. QVC, eBay kullanıcılarının hala ambalajında ​​ürün almakla ilgili olarak iletişime geçtikleri konunun farkına vardı. Kadın sonunda sahtecilikten suçlu bulundu.

Parola sıfırlama özellikleri, açık sorular sorduğunda ve korsanların kurbanları hakkında çok az bilgi sahibi olmaları durumunda yetkisiz bir hesap erişimine neden olabilir. Grossman, eski mobil servis sağlayıcısı Sprint'i içeren bir örnek sundu. Parolalarını sıfırlamak için, bir hacker'ın sadece bir kişinin cep telefonu numarasını ve nerede yaşadığı veya sürdükleri araba gibi temel bilgileri bilmesi gerektiğini söyledi. Bu, bir hacker'ın kurbanın adıyla yeni telefonlar sipariş etmesine veya telefonlarına yeni servisler yüklemesine izin verebilirdi.

Kupon numaraları birbiri ardına birbirine yakınsa E-kuponlar tüccarlar için risk oluşturmaktadır. Grossman, bir perakendecinin bir hackerın sadece birkaç haneden farklı kupon sayılarını ortaya çıkarmak için bir senaryo yazmasından sonra birkaç dolara sattığı yüksek fiyatlı ürünlerin bir kısmını gördü. Perakendeci, sistem günlüğünün, hacker'ın komut dosyası çalıştırıldığı sırada geceleri işlenmekte olan çok sayıda siparişi açığa çıkardığında sorunu keşfetti.

Hacker'lar, diğer Web sörfçülerini, onlar için Web sitelerine ücretsiz olarak vaat ederek Captcha testlerini çözmek için ikna edebilirler. müzik veya yetişkin içeriği. Captchas, bir kişinin bir Web e-posta hesabı gibi hizmetlere kaydolmak için bir dizi karışık karakterleri deşifre etmesini gerektirir. Web sörfçüleri, vekil sunucu aracılığıyla bilgisayar korsanına gönderilen Captcha'ları çözer, daha sonra spam veya başka bir etkinlik göndermek için birden fazla e-posta hesabına kaydolmak için bunları kullanır.

"Yeterli kullanıcı olduğunuz sürece Web sitenize, Captcha'nın çözdüğüne sahipsiniz, "dedi Grossman. "Kötü adamlar, bu Captcha'ları yenmemizi ve böylece bize spam gönderebilmelerini istiyor."

Başka bir kusur, kullanıcıların, belirli bir hizmet için oturum açma veya şifreleri olduğunda, bir Web sitesinin tüm bölümlerine erişim izni vermesidir. Örneğin, Estonyalı bir şirketteki çalışanlar 2004 yılında Business Wire basın bülteni hizmetine kaydoldu. Bu sitedeki URL'lerin bazen henüz kamuya açıklanmamış olan haber bültenleri hakkında bilgi içerdiğini belirtti. URL'leri arayan bir program kullanarak, şirketteki çalışanlar hassas iş ve finansal bilgileri ortaya çıkarmayı başardılar. Bu bilgiye dayanarak hisse senedi alıp sattıktan sonra, çalışanlar 7,8 milyon dolar kazandılar, ama aynı zamanda ABD'li düzenleyiciler tarafından dolandırıcılık suçlamalarıyla da çarpıldılar. asla yakalanmadı.

Web güvenliği, kalite güvencesinin ötesine uzanmakta ve Web uygulamalarını hizmetlerin nasıl işletileceğini belirleyecek şekilde tasarlamaktadır.