Analisi di un attacco web


BugFixing

Sono sempre più frequenti gli attacchi ai danni di siti web, finalizzati a iniettare codice malevolo per infettare i visitatori, per sottrarre credenziali d'accesso o per accede ai dati salvati sul database, o ancora per impossessarsi del webserver per caricare e diffondere materiale illecito all'insaputa dell'intestatario del dominio.

Spesso l'attacco viene condotto da robot automatizzati (detti bot o botnet), si tratta di algoritmi che scandagliano una serie di elementi e che vanno alla ricerca di informazioni e di bugs utili per sferrare successivamente un attacco mirato.

E' possibile identificare le bot analizzando i browsers dei visitatori, tipicamente per velocizzare il procedimento di acquisizione dei dati, le bot scansionano il sito senza utilizzare un browser evitando così di caricare gli elementi grafici che rallenterebbero l'acquisizione dei dati.

Quasi tutti i tentativi di intrusione avvengono utilizzando "trucchi" in modo da impedire l'identificazione diretta dell'attaccante, ad esempio normalmente l'IP dell'attaccante è sostituito con un IP fasullo assegnato da un "proxy"; identificare gli IP mascherati da un Proxy permette nella quasi totalità dei casi di individuare i malintenzionati.

Altri tipi di attacco sfruttano tecniche di più sofisticate quali il Cross site scripting (XSS) e l'SQL injection (SQLi).

L'attacco XSS consiste nell'iniettare codice in un sito (ad esempio sfruttando bugs nei moduli di contatto, nelle forms o nei guestbook), lo scopo è di fare in modo che il codice possa essere eseguito sul device dell'ignaro visitatore, il quale potrebbe ade esempio trovarsi dirottato automaticamente su un altro sito, o potrebbe installare malware o software spia.

Attacchi che sfruttando l' SQLi possono andare a segno se applicati a siti che non sanitizzano a sufficienza l'input dell'utente, permettendo all'attaccante di raggiungere il database eludendo ogni tipo di controllo di sicurezza, potendo così estrarre facilmente credenziali, email, carte di credito ecc. in generale ogni informazione scritta sul database.

Si tratta di attacchi subdoli e silenziosi che difficilmente saranno rilevati senza sistemi aver attivato avanzati controlli di monitoraggio.

Apollo web defence è una consolle di monitoraggio, che intercetta e traccia tutte queste attività potenzialmente pericolose, permette di rintracciare:

  • bot,
  • proxy
  • attacchi XSS e SQLi

Apollo web defence è un utile strumento di monitoraggio che permette di studiare il traffico e le tecniche di attacco, protegge in modo attivo e automatizzato il sito monitorato applicando regole di "ban" impedendo la connessione al sito agli IP ritenuti pericolosi; i ban possono essere applicati in modo molto specifico ad esempio sugli IP in base alla provenienza geografica (es. sui visitatori esteri di alcuni Paesi), applicati ai browsers (ad esempio browser anonimi come Tor) o sui visitatori che usano determinati sistemi operativi oppure che utilizzano IP nascosti da proxy o bot che non usano browsers.

Le regole di ban possono essere ulteriormente raffinate permettendo l'accesso ad alcuni IP (es. crawler di Google) tramite l'inclusione in una white list.


Per informazioni

0341 700086

Open Lun-Ven

09:00 - 18.00