מומחה לסמלט: הדרכים הנפוצות ביותר בהן משתמשים האקרים כדי לתקוף אתר

פריצה היא איום העומד בפני עסקים קטנים וגדולים כאחד. למעשה, לתאגידים גדולים כמו מיקרוסופט, NBC, טוויטר, פייסבוק, דרופל ו- ZenDesk נפרצו לאחרונה אתרי האינטרנט שלהם. בין אם פושעי הסייבר האלה רוצים לגנוב נתונים פרטיים, לכבות את המחשב האישי שלך או להשתלט על השליטה באתר האינטרנט שלך, דבר אחד נשאר ברור; הם מפריעים לעסקים.

ארטם אבגריאן, מנהל ההצלחה ללקוח בכיר של Semalt , מציע לשקול את הטריקים הבאים שבהם יכול האקר להשתמש בכדי לחדור לאתרי האינטרנט / המערכת שלך.

1. התקפת הזרקה

התקפה זו מתרחשת כאשר יש פגם בספריית SQL שלך, מסד הנתונים SQL או אפילו במערכת ההפעלה עצמה. צוות העובדים שלך פותח את מה שעובר כקבצים אמינים אך לא ידוע להם, לקבצים פקודות נסתרות (זריקות). בכך הם מאפשרים לפריצה לקבל גישה בלתי מורשית לנתונים חסויים כמו פרטי כרטיסי אשראי, חשבונות בנק, מספר תעודת זהות וכו '.

2. התקפת תסריטים חוצה אתרים

התקפות XSS מתרחשות כאשר חבילת קבצים, יישום או כתובת אתר 'קבל בקשה' נשלחים לחלון הדפדפן. שימו לב שבמהלך ההתקפה הנשק (יכול להיות אחד מהשלושה שהוזכרו) עוקף את תהליך האימות. כתוצאה מכך, המשתמש מרומה במחשבה שהוא עובד על דף אינטרנט לגיטימי.

3. אימות שבור והתקפת ניהול מושבים

במקרה זה, ההאקר מנסה לנצל מערכת אימות משתמשים חלשה. מערכת זו כוללת סיסמאות משתמשים, מזהי הפעלה, ניהול מפתחות ועוגיות דפדפן. אם יש פרצה איפשהו, האקרים יכולים לגשת לחשבון המשתמש שלך ממיקום מרוחק ואז הם נכנסים באמצעות האישורים שלך.

4. התקפת קליק ג'ק

Clickjacking (או התקפת UI-Redress Attack) מתרחשת כאשר האקרים משתמשים בשכבות אטומות מרובות כדי להערים על המשתמש ללחוץ על השכבה העליונה מבלי לחשוד בדבר. במקרה זה, קליקים של ההאקר 'חוטפים' שנועדו לדף האינטרנט שלך. לדוגמה, על ידי שילוב בזהירות של iframes, תיבות טקסט וגיליונות סגנונות, האקר יביא את המשתמש לחשוב שהוא מתחבר לחשבון שלו, אבל במובן האמיתי, זו מסגרת בלתי נראית הנשלטת על ידי מישהו עם מניע קיצוני.

5. זיוף DNS

האם ידעת שנתוני מטמון ישנים ששכחת מהם יכולים לבוא לרדוף אותך? ובכן, האקר יכול לזהות פגיעות במערכת שמות הדומיין המאפשרת להעביר תנועה משרת לגיטימי לאתר או לשרת דמה. התקפות אלה משכפלות את עצמן ומפיצות את עצמן משרת DNS אחד למשנהו, ומזייפות כל דבר שעומד בדרכו.

6. התקפת הנדסה חברתית

טכנית, זה לא פריצה כשלעצמה. במקרה זה אתה מוסר מידע סודי בתום לב, למשל באמצעות צ'אט באינטרנט, דוא"ל, מדיה חברתית או באמצעות כל אינטראקציה מקוונת. עם זאת, כאן נכנסת בעיה; מה שחשבת שספק שירות לגיטימי מתברר שהוא תכסיס. דוגמה טובה לכך היא הונאת "התמיכה הטכנית של מיקרוסופט".

7. קישור SYM (התקפה פנימית)

קישורים לסמל הם קבצים מיוחדים ש"מצביעים "על קישור קשה על מערכת קבצים מותקנת. כאן, ההאקר ממקם את ה- symlink בצורה אסטרטגית כך שהיישום או המשתמש הגישה לנקודת הקצה מניחים שהם נכנסים לקובץ הנכון. שינויים אלה פוגעים, מחליפים, מוסיפים או משנים הרשאות קבצים.

8. התקפת בקשות חוצות-אתרים

התקפות אלה מתרחשות כאשר המשתמש מחובר לחשבון שלו. האקר ממקום מרוחק עשוי לנצל הזדמנות זו לשלוח לך בקשת HTTP מזויפת. זה נועד לאסוף את פרטי העוגיות שלך. נתוני קובצי Cookie אלה נשארים תקפים אם אתה נשאר מחובר. כדי להיות בטוח, היכנס תמיד מחשבונותיך כשתסיים איתם.

9. מתקפת ביצוע קוד מרחוק

זה מנצל חולשות בשרת שלך. רכיבים אדישים כמו ספריות מרוחקות, מסגרות, ספריות וכן מודולי תוכנה אחרים הפועלים על בסיס אימות המשתמש ממוקדים על ידי תוכנות זדוניות, סקריפטים ושורות פקודה.

10. התקפת DDOS

התקפת מניעת שירות מופצת (מקוצרת ל- DDOS) מתרחשת כששירותי המכונה או השרת נשללים ממך. כעת כשאתם במצב לא מקוון, ההאקרים מתעסקים באתר או בפונקציה ספציפית. מטרת ההתקפה היא זו: להפריע או להשתלט על מערכת הפעלה.