Создание безопасного сайта – это нечто большее, чем простое обеспечение
защиты от межсайтового скриптинга и SQL-инъекций, поскольку серьезные риски для
безопасности кроются и в организации самих бизнес-процессов. Такое мнение на
прошлой неделе озвучил в ходе конференции Source Boston Security Showcase
технический директор WhiteHat Security Джеремия Гроссман.

По его словам, эксплуатация недостатков в организации инфраструктуры бизнеса
и бизнес-процессов может быть весьма прибыльной для хакеров, не требовать при
этом серьезных технических навыков и зачастую быть даже вполне законной.

В доказательство своих слов господин Гроссман привел несколько реальных
примеров.

В 2007 году обвинение в мошенничестве было предъявлено женщине, которая
заработала 412 000 долларов, используя недоработку в системе заказа товаров
компании QVC. Она разместила заказы на 1800 предметов через аналог "магазина на
диване", а затем отказалась от их покупки через веб-сайт. Однако товар ей был
уже выслан, и вместо того, чтобы вернуть его, она предпочла продать вещи через
eBay. В QVC узнали об этом после того, как пользователи аукциона сообщили в
компанию, что получили купленные ими вещи в ее фирменной упаковке. В конечном
счете, злоумышленницу признали виновной в компьютерном мошенничестве.

В качестве примера несанкционированного доступа к аккаунту через слишком
простую систему сброса паролей Гроссман рассказал о бывшем американском
операторе мобильной связи Sprint. Для того чтобы сбросить пароль, хакеру нужно
было знать лишь место проживания жертвы, номер ее мобильного телефона или марку
машины. Получив доступ к профилю, злоумышленник мог заказывать от чужого имени
новые телефоны, или включать новые услуги на телефонах пострадавших людей.

Представляют собой угрозу и электронные купоны. Если их номера близки друг к
другу и возрастают последовательно, хакер может воспользоваться этим для скупки
дорогих вещей по очень низкой цене. Именно это и произошло, когда один из
американских розничных продавцов обнаружил, что некоторые из его дорогостоящих
товаров были проданы за несколько долларов из-за того, что хакер написал скрипт,
вскрывающий номера купонов, которые отличались лишь на несколько цифр.

Другой проблемой является предоставление доступа ко всему сайту тем
пользователям, которые имеют данные авторизации лишь для отдельных сервисов.
Например, сотрудники одной из эстонских фирм были подписаны на услугу чтения
пресс-релизов от Business Wire, начиная с 2004 года. Выяснилось, что некоторые
ссылки на сайте указывали на те новости, которые еще не стали достоянием
общественности. Используя программу поиска таких URL, сотрудники фирмы получили
возможность узнавать важную бизнес- и финансовую информацию. Продавая и покупая
на ее основе различные акции, они заработали 7,8 миллиона долларов, однако
впоследствии также были привлечены к ответственности американскими регуляторами.

На основании описанных им инцидентов Джеремия Гроссман заключил, что
веб-безопасность должна простираться за пределы обеспечения качества сервисов и
надлежащего программирования онлайн-приложений, чтобы учитывать то, как эти
сервисы выстроены и как они работают.



Оставить мнение