Компания Imperva выпустила обновлённую редакцию аналитического отчёта Web Application Attack Report (PDF), в котором представлен анализ техник и инструментов хакерских атак на публичные веб-сайты в июне-ноябре 2011 года.
Специалисты отмечают, что количество сетевых атак продолжает расти. По их опыту, любой крупный веб-сайт «прощупывается» хакерами каждые несколько минут. В целом по интернету общее количество хакерских атак за месяц они оценивают примерно в 38 тыс. (в ноябре 2011 года), то есть десять атак в секунду.
Хакеры используют свободно доступные в онлайне программы для автоматического сканирования сайтов на уязвимости, при этом в последнее время увеличилось количество проверяемых уязвимостей. Эксперты упоминают о двух таких программах:
- FBPwn: созданная в Египте программа автоматически создаёт копии аккаунтов Facebook, френдит пользователей и извлекает персональные данные у тех, кто принимает запрос на дружбу.
- Retrief: инструмент, разработанный хактивистской группой Anonymous, автоматизирует атаки типа SQL Injection с целью вывести сайт из строя. Таким образом, успешная DDoS-атака может быть проведена не армией ботом, а всего одним хакером.
Самыми распространёнными классическими видами атак являются следующие пять:
- Remote File Inclusion (RFI)
- SQL Injection (SQLI)
- Local File Inclusion (LFI)
- Cross Site Scripting (XSS)
- Directory Traversal (DT)
Наиболее популярны две последних — XSS и DT.
Отдельно исследователи отмечают два вида атак типа BLA (Business Logic): извлечение e-mail'ов (EmExt) и спам в комментариях (ComSpm). Они непосредственно не являются взломом сайта, а представляют собой вредоносный трафик, эксплуатирующий естественную функциональность сайтов. Относительное соотношение всех видов атак показано на диаграмме.
Интересно, что анализ географических источников атак показывает особенную популярность спама в комментариях у российских и украинских злоумышленников (количество атак в тысячах).
Отчёт Imperva составлен на основе шестимесячного мониторинга трафика на 60 веб-сайтах.
