Web Security: I Top 5 attacchi alle web application

La Web Security  è tornata di estremo interesse da parte di tutti gli esperti del settore e non solo.  Uno studio di Positive Tecnologies del 2017 ha dimostrato che tutti i siti web o web application hanno almeno una vulnerabilità nota.

Lo stesso studio dimostra che il 70% dei siti web o web application hanno una vulnerabilità nota con un livello di criticità Alta.

Stiamo di fatto parlando di vulnerabilità conosciute e note con i relativi exploit spesso disponibili a chiunque in rete. La questione della Web Security nel contesto dell’attuale normativa europea sulla privacy, la GDPR, assume un valore di primaria importanza per tutte le Aziende. Il rischio di Data Breach è di fatto estremamente alto con tutti le conseguenza relative alle sanzioni amministrative e rischio di rivalsa risarcitoria da parte degli utenti,

Web Application Security e Web Security la top 5 cyberattacks 

Come tutte le cose, anche le web application hanno i loro i problemi, in primis i tipi di attacchi da parte dei Criminal hacker a cui possono essere sottoposte,.

Ecco la top 5:

  1. Bots e web scraping
  2. DDoS
  3. Cross site scripting (XSS)
  4. SQL Injection
  5. Malware 

Web Security: Bots e Web Scraping

Un bot è una sorta di software che rende automatiche le azioni ripetitive, in modo da evitare all’utente di dover stare a ripetere sempre gli stessi comandi. Per intenderci, i bot sono quelli che registrano le ricerche su Google, in modo da offrire risultati sempre più ottimizzati, dunque sono quelli che offrono visibilità ai siti più meritevoli. Il problema sta nel fatto che ci sono bots “buoni” e bots “cattivi”. I bad bots generano anch’essi traffico, ma al contrario dei good bots, questo traffico è infetto, in quanto lo stesso bot lo è.

È per questo che un bad bot può essere usato per il web scraping, ovvero l’estrazione di dati da un sito o, per l’appunto, da un’applicazione web. Sono una vera e propria piaga di Internet: secondo recenti statistiche, infatti, un quinto del traffico giornaliero sul web è costituito da bad bots. Che cosa significa ciò? Che, potenzialmente, ogni sito che visiti, per quanto marcato come sicuro, potrebbe esporti a un furto di dati.

Il furto di dati non necessariamente implica che ti vengono rubati i dati di pagamento, riguarda anche soltanto la memorizzazione del tuo indirizzo e-mail, che verrà poi usato per inviarti spam, a sua volta utilizzata come tentativo di phishing, ovvero furto d’identità.

I bad bots possono inoltre aprire la porta agli attacchi di tipo DDoS.

Web Security: DDOS DIstribuited Denial of Service

DDoS, ovvero Distributed Denial of Service. È un tipo di attacco che spesso ha origine su dispositivi diversi, in quanto per essere portato a termine necessita di numerosi indirizzi IP. Ciò che un DDoS fa è saturare il sistema bombardandolo di richieste fino a mandarlo, praticamente, in tilt, rendendolo inutilizzabile.

Esistono tre tipi fondamentali di attacchi DDoS:

  • IP Spoofing. È il tipo di attacco DDoS più diffuso, in quanto è una tecnica particolarmente di successo per gli hacker che intendono ottenere un accesso non autorizzato al sistema. Tramite lo spoofing vengono creati pacchetti di indirizzi IP che servono a mascherare l’identità dell’hacker o impersonare un altro sistema. Ciò significa che il cyber-criminale usa degli IP falsi, impedendo al sistema di verificarne l’origine. Le tecniche più diffuse di IP spoofing sono quelle definite UDP flood e ICMP flood: la prima implica lo stress del sistema attraverso ripetute richieste contenenti datagrammi UDP (protocollo di sicurezza delle comunicazioni), la seconda utilizza, con le stesse modalità, ICMP (Internet Control Message Protocol), protocollo che si occupa dei pacchetti di messaggi scambiati online.
  • Attacchi al protocollo. Il DDoS può intaccare il protocollo di sicurezza dell’applicazione web attraverso tecniche come il Ping of Death, in cui l’hacker invia un pacchetto IP malformato, sempre al fine di bloccare il servizio; o lo Smurf, che usa invece ICMP.
  • GET/POST flood. Qui l’hacker sfrutta un http (protocollo di sicurezza per le pagine web) o un POST (Power-On Self-Test, vale a dire la fase di auto-analisi del sistema) in apparenza non contraffatto per inviare attacchi DDoS. È una tecnica che richiede meno sforzi, ma necessita di una conoscenza più approfondita, dunque solo gli hacker più esperti sono in grado di usarla.

 

Web Security: Cross Site Scripting

Il Cross Site Scripting, o XSS, è uno degli attacchi più pericolosi per le web application, in quanto implica l’immissione di snippets, pezzi di JavaScript (tipo di programmazione largamente in uso) infetti che l’utente, ignaro, andrà ad eseguire. Nel momento stesso in cui l’utente clicca sull’URL infetto, dà accesso all’hacker, che potrà così ottenere i dati personali da rivendere poi sul Dark Web. Il Cross Site Scripting è usato anche per modificare il contenuto di una pagina in modo da reindirizzare l’utente su un’altra applicazione web infetta.

Web Security: SQL Injection

SQL è il linguaggio standard per i database. Un attacco di tipo SQL Injection implica l’inserimento (injection significa iniezione, per l’appunto) di elementi nocivi difficili da individuare, che il database potrebbe riconoscere come legittimi, aprendosi a un furto di dati che potrebbe raggiungere non soltanto gli utenti, ma anche gli admin, permettendo agli hacker di creare account amministrativi nuovi da cui prendere il controllo dell’applicazione web in questione. Un attacco SQL Injection può portare però conseguenze ancora più gravi: cosa succederebbe se i malintenzionati rubassero anche le informazioni riguardo indirizzo postale e numero di telefono oltre che dati di pagamento.

Web Security: Malware

I malware sono la minaccia più largamente conosciuta, ma anche la più subdola. Ne esistono di diversi tipi, in base agli scopi (ransomware, Trojan, spyware ecc.), e una volta infiltrati nel sistema, possono arrivare a permettere al cyber-criminale di turno di ottenere un controllo pressoché totale. Proteggere le web application dai malware è essenziale, in quanto, statisticamente, sono le più a rischio: il numero di cyber-attacchi tramite malware nel 2017 è stato molto elevato per le web application, e sebbene gli hacker, sembra, si stiano spostando verso il mining di criptovalute, la minaccia rimane.

Web Application Security e Web Security

L’evidenza dei dati dimostra che stanno venendo meno i principi base relativi alla Web Security.

Nella sicurezza informatica, e nella Web security non può venire meno il concetto di prevenzione.

La sicurezza preventiva viene garantita attraverso attività di vulnerability assessment e network scan dei propri siti web e web application.

Queste attività necessitano di una attività periodica su base annuale al fine di verificare costantemente se i propri asset risultino vulnerabili a nuove vulnerabilità.

Attività che sono indispensabili per avere la consapevlezza dei rischi dei propri sistemi e per poter essere il linea a quanto definito e stabilito dalla normativa privacy GDPR.

Verifica i livelli di sicurezza del tuo sito web e delle tue web application con i servizi cyber proposti da www.swascan.com