Analisi di un attacco web


BugFixing

Sono sempre più frequenti gli attacchi ai danni di siti web, finalizzati a iniettare codice malevolo per infettare i visitatori, per sottrarre credenziali d'accesso o per accede ai dati salvati sul database, o ancora per impossessarsi del webserver per caricare e diffondere materiale illecito all'insaputa dell'intestatario del dominio.

Spesso l'attacco viene condotto da robot automatizzati (detti bot o botnet), si tratta di algoritmi che scandagliano il web a caccia di informazioni e di bugs utili per sferrare successivamente un attacco mirato.

E' possibile identificare le bot analizzando i browsers dei visitatori, tipicamente per velocizzare il procedimento di acquisizione dei dati, le bot scansionano il sito senza utilizzare un browser evitando così di caricare gli elementi grafici che rallenterebbero l'attività di acquisizione dei dati.

Quasi tutti i tentativi di intrusione avvengono utilizzando "trucchi" in modo da impedire l'identificazione diretta dell'attaccante, l'attaccante generalmente protegge la propria identità utilizzando un IP fasullo assegnato da un "proxy"; identificare gli IP mascherati da un Proxy permette nella quasi totalità dei casi di individuare i malintenzionati.

Altri tipi di attacco sfruttano tecniche di più sofisticate quali il Cross site scripting (XSS) e l'SQL injection (SQLi).

L'attacco XSS consiste nell'iniettare codice in un sito (ad esempio sfruttando bugs nei moduli di contatto, nelle forms o nei guestbook), lo scopo è di fare in modo che il codice iniettato possa essere eseguito sul device dell'ignaro visitatore, il quale potrebbe ad esempio trovarsi dirottato automaticamente su un altro sito, o potrebbe installare malware o software spia.

Attacchi che sfruttando l' SQLi sfruttano l'insufficiente sanitizzazione l'input dell'utente, permettendo all'attaccante di raggiungere il database digitando indirizzi web eludendo ogni tipo di controllo di sicurezza, potendo così estrarre facilmente credenziali, email, carte di credito ecc. in generale ogni informazione scritta sul database.

Si tratta di attacchi subdoli e silenziosi che difficilmente saranno rilevati senza aver attivato avanzati controlli di monitoraggio.

Apollo web defence è una consolle di monitoraggio, che intercetta e traccia tutte queste attività potenzialmente pericolose, permette di rintracciare:

  • Bot pericolose, bot anonime;
  • Ip sottoproxy;
  • Attacchi XSS e SQLi;
  • Utenti con caratteristiche appartenenti alla nostra black list personalizzata.

Apollo web defence è un utile strumento di monitoraggio che permette di studiare il traffico e le tecniche di attacco, protegge in modo attivo tramite un firewall automatizzato il sito monitorato applicando regole di "ban" impedendo la connessione al sito agli IP ritenuti pericolosi; i ban possono essere applicati in modo molto specifico ad esempio sugli IP in base alla provenienza geografica (es. sui visitatori esteri di alcuni Paesi), applicati ai browsers (ad esempio browser anonimi come Tor) o sui visitatori che usano determinati sistemi operativi oppure che utilizzano IP nascosti da proxy o bot che non usano browsers.

Le regole di ban possono essere ulteriormente raffinate permettendo l'accesso ad alcuni IP (es. crawler di Google) tramite l'inclusione in una white list.


Per informazioni

0341 700086

Open Lun-Ven

09:00 – 18.00

Notizia certa monitorata da certnews, clicca qui se vuoi aprire una segnalazione