Перечислили пять самых частых видов кибератак на веб-приложения, с которыми сталкиваются специалисты по информационной безопасности.
1. XSS-атаки
XSS — Cross-Site Scripting — «межсайтовый скриптинг». Суть такая же, как и у SQL-инъекций: внедрить вредоносный JS-код на сайт. В итоге, когда пользователь-жертва заходит на страницу, помимо обычных скриптов в его браузере выполняется скрипт хакера.
В нулевые годы хакеры писали JS-код прямо в комментариях. Когда простые пользователи заходили на сайт, их браузер не мог отличить обычный коммент от кода и выполнял вредоносные скрипты. Сейчас такие уязвимости уже не работают, но XSS все еще востребован.
2. SQL-инъекции
Приложение обращается к базе данных с помощью языка запросов, чаще всего SQL. Однако злоумышленник может подменить запрос. Например, поставить символ комментария, чтобы часть запроса игнорировалась.
SQL-инъекции — это одна из базовых уязвимостей, которая в практике пентестера встречается чаще всего. Узнать больше о подобных уязвимостях вы можете на курсе «Специалист по информационной безопасности» Яндекс Практикума.
3. Фишинг
Редко используется как отдельная атака. Чаще его комбинируют с XSS. Хакер внедряет в код сайта JS-скрипт, который перенаправляет жертву на поддельную страницу. При этом фишинговый сайт ничем не отличается от настоящего, даже доменное имя может быть аналогичным.
На странице пользователь вводит учетные данные, которые затем перенаправляются на настоящий сервер. В итоге жертва даже не замечает подмены, а хакер получает пароль и логин.
4. Path Traversal
Уязвимость позволяет получить доступ к файлам за пределами корневой директории, которые недоступны обычному пользователю. Хакер манипулирует URL-запросами и изменяет переменные.
С Path Traversal у начинающих пентестеров часто возникают проблемы, так как уязвимость попадается редко и требует опыта. На нашем онлайн-курсе вы сможете спросить совета у людей из студенческого сообщества, которые уже прошли этот путь.
5. Broken Access Control
Злоумышленники используют ошибки в механизмах аутентификации для доступа к ресурсам. В итоге хакер может авторизоваться под вашей учетной записью, просматривать ваши сообщения и скрытые посты в соцсетях.
Если хотите стать настоящим пентестером, записывайтесь на курс по информационной безопасности. К окончанию обучения вы соберете портфолио, которое поможет выделиться среди соискателей, а эксперты нашего карьерного центра помогут с резюме и трудоустройством.
Реклама ООО «Яндекс», ИНН: 7736207543
