Video: 🔎 Разбор инопланетной темы в GTA San Andreas (№1) (Nobyembre 2024)
Huwag obsess sa mga kahinaan sa zero-day at ang lubos na sopistikado, na-target na pag-atake. Ang mga umaatake ay mas malamang na samantalahin ang mas matanda, kilalang mga flaws sa mga aplikasyon sa Web, kaya tumuon sa pangunahing patching at kalinisan ng seguridad sa halip.
Ang isang kahinaan na naka-patch sa 2010 at isa pa noong 2009 ay kabilang sa sampung pinaka-madalas na naka-target na mga kahinaan sa Web noong Abril, si Barry Shteiman, ang direktor ng diskarte sa seguridad ni Imperva, sinabi sa SecurityWatch. Sa kabila ng kanilang edad, ang parehong mga pribado at industriyalisadong naatake ay patuloy na target ang mga kahinaan na ito, dahil ang mga kampanya ng pag-atake na ito ay "kapaki-pakinabang." Ang pag-atake ay hindi nangangailangan ng pagbili o pagbuo ng mga mamahaling zero-day na pagsamantala "bilang mga luma na malawak na magagamit na trabaho pati na rin, " sabi ni Shteiman.
Nauunawaan ng mga nagsasalakay na ang mga matatandang kahinaan ay ang mababang-nakabitin na prutas ng seguridad ng aplikasyon sa Web. Ang mga umaatake ay maaaring maging sopistikado kung kailangan nila, at may mga tool sa kanilang pagtatapon sa mga masalimuot na kampanya. Ngunit bakit abala kapag ang mga tao ay dumikit sa mga hindi napapanahong mga bersyon ng mga aplikasyon sa Web o mga administrador ay hindi nagpapanatili ng isang regular na iskedyul ng pag-patch para sa mga aplikasyon. Ang problema ay mas laganap sa mga malawak na ginagamit na aplikasyon, tulad ng software forum, software management system, at kahit na mga tool sa e-commerce, sinabi ni Shteiman.
Mga System sa Panganib
Ang lahat ng mga kahinaan na naka-target sa Abril ay mga pag-atake ng iniksyon, tulad ng file at SQL injection at lahat ay na-patch. Sinimulan ng kapintasan noong 2010 ang isang isyu sa pamamahala sa pribilehiyo sa ZeusCMS 0.2 at ang 2009 bug ay isang SQL injection sa Zen Cart 1.3.8 at mas maaga. "Ang mga karahasan ay hindi kailanman mukhang mamatay, " sabi ni Shteiman.
Kung alam ng mga umaatake ang isang isyu sa isang CMS at na ang CMS ay na-install ng 10 milyong beses, hinahanap ang mga site na nagpapatakbo ng bersyon na iyon ng software na ", sinabi ni Shteiman. Nangangailangan ito ng ilang mga mapanghusga na Google-fu at wala pa.
Nagbigay si Imperva ng isang tsart ng sampung nangungunang mga kahinaan na na-target, at tatlong bagay ang lumitaw. Ang "pinakabagong" kahinaan sa listahan ay mula sa 2013. Tulad ng nakikita ng marka ng CVSS, ang mga kahinaan mismo ay hindi sopistikado, lubos na kritikal na mga bahid. At ang mga pagsasamantala sa kanilang sarili ay hindi kumplikado.
Maraming pag-atake ng masa laban sa tanyag na software ng CMS, kasama ang WordPress at Joomla. Sa pamamagitan ng sapat na masusugatan na mga system, mas mura at mas madali para sa mga umaatake na maghanap para sa mga sistemang iyon sa halip na gumawa ng mga pag-atake sa zero-day.
Pagtaas sa Injection World
Ginagamit lamang ng mga umaatake ang umiiral at kamakailan na natuklasan ng mga vectors ng pag-atake nang paulit-ulit, sinabi ni Shteiman. Ito ang dahilan kung bakit ang SQL injection at cross-site scripting ay nananatiling popular na mga vectors ng pag-atake. Ang problema sa SQLi ay nalutas sampung taon na ang nakalilipas, ngunit ang mga rate ng pag-atake ay mataas pa rin. Ang script ng site na cross-site ay nagkakahalaga ng 40 porsyento ng mga pag-atake sa huling tatlong buwan at SQL injection bilang 25 porsyento, aniya.
"Kung mayroon kaming lunas para sa cancer, inaasahan mong makakita ng isang pagbawas sa mga rate ng dami ng namamatay. Ngunit hindi iyon ang kaso para sa SQL injection, " sabi ni Shteiman.
Ang isang mabilis na sulyap sa Exploit-db.com Kinukumpirma ang mga obserbasyon ni Shteiman. Sa pitong pagsasamantala na nakalista sa ilalim ng mga aplikasyon ng Web, limang deal sa ilang paraan na may off-the-shelf software, tulad ng WordPress, AuraCMS, o platform ng negosyo sa lipunan na Sharetronix. Ang XSS at SQL injection atake ay madalas ding nakalista.
Ang mga tagapangasiwa, kung pinamamahalaan ba nila ang mga site na may milyun-milyong mga gumagamit bawat araw o isang site na may isang mas maliit na presensya sa online, kailangan upang matiyak na regular nilang i-patch ang kanilang software. Maraming mga developer ng CMS ang pinasimple ang proseso ng pag-update sa loob ng kanilang software, at may mga tool upang makatulong na matukoy ang lahat ng mga application na na-install. Ang mga tampok na hindi ginagamit ay dapat na hindi pinagana.
Sigurado, nakakatakot ang pag-atake ng zero-day at target na pag-atake. Ngunit kung darating ang mga umaatake para sa iyong data at iyong site (at ang mga logro ay mataas ang isang tao ay), huwag gawing madali sa pamamagitan ng pagkakaroon ng mga butas sa iyong software. Patch, patakbuhin ang mga tool sa pagtatasa, at hanapin ang kahina-hinalang pag-uugali. Ang pagbabantay ay susi.
