6 mars 2015 à 00:43

Audit de sécurité du site Web - identification des risques et des menaces

• Sécurité des informations

L'audit de sécurité du site (vérification des vulnérabilités du site) est une série de procédures visant à assurer le fonctionnement stable d'une ressource Web, la sécurité des données et la réduction des risques.

Ce n'est un secret pour personne que la situation économique dicte désormais de nouvelles règles, y compris en matière de concurrence. Si auparavant la « guerre des technologies », le cyberespionnage et les actions destructrices étaient principalement le lot de grandes entreprises ou d'États entiers, ces méthodes sont désormais utilisées avec succès dans les petites et moyennes entreprises.

Laissons de côté pour l'instant les sites d'entreprises hors ligne, et parlons aujourd'hui des sites marchands, dont les principaux revenus sont liés aux activités Internet.

Un audit de sécurité du site est un ensemble de travaux visant à identifier les erreurs dans le code du site et le logiciel serveur, qui peuvent être utilisés par des attaquants pour attaquer et pirater le site.

La motivation utilisée par les attaquants peut être différente - c'est à la fois la vantardise et la recherche d'avantages à la fois pour eux-mêmes et en travaillant pour un "ordre".

D'après les derniers exemples "très médiatisés" - le piratage de l'échange indépendant FL.ru

capture d'écran du message de l'attaquant au nom d'un des administrateurs

Ici, la ressource a clairement subi une atteinte à sa réputation, la fidélité des utilisateurs a été réduite. Les nouveaux utilisateurs peuvent être difficiles à attirer : www.google.ru/search?ie=UTF-8&hl=ru&q=FL.ru
À la suite des résultats de recherche GOOGLE pour FL.RU, le deuxième sujet est sur Habré à propos de l'épuisement de la base d'utilisateurs.

Que donnerait un audit de sécurité de l'échange FL.RU - la sélection de mots de passe pour les comptes d'administrateur de ressources aiderait à identifier ces comptes. Des recommandations supplémentaires et des règles pour leur respect aideraient à éviter un tel oubli regrettable. L'absence de restriction d'accès aux fonctionnalités critiques (comptes d'utilisateurs) à partir d'une adresse IP non fiable n'a fait qu'exacerber la situation.

Les risques de réputation liés au piratage du site Web de l'entreprise affecteront naturellement la rentabilité de l'entreprise. Mais il existe également une menace directe de vol de données précieuses pour l'entreprise. Site Web de l'entreprise associé aux activités en ligne - boutique en ligne, échange électronique, etc. - le principal outil de rentabilité - contient souvent une base de données clients, d'autant plus précieuse si la prestation implique un travail de longue haleine avec le client, des achats répétés, etc.

En outre, la manipulation des données de paiement, les transactions frauduleuses dans les systèmes de dépôt/retrait ou les systèmes de paiement peuvent causer de graves dommages à l'entreprise.

Les attaquants attaquant le site peuvent être conditionnellement divisés en deux types :

1. Nous prenons tout ce qui ment mal.

Ce type d'attaquants essaie d'accéder à un grand nombre de sites, utilise des techniques primitives, "du bruit dans les logs". En règle générale, ces acteurs analysent le ou les sites avec des scanners de vulnérabilité populaires ou recherchent des CMS vulnérables pour un exploit spécifique. Ils peuvent être intéressés à la fois par la base d'utilisateurs et par l'iframe banal sur le soi-disant. exploit-pack.

recherche de complices pour commettre une infraction en vertu de l'article 273 du Code pénal de la Fédération de Russie

Un audit de sécurité des applications Web en temps opportun aidera à identifier les composants vulnérables et les zones problématiques du site. Les recommandations vous aideront à vous préparer à repousser les attaques de pirates.

2. Nous attaquons une cible précise.

Ces types d'attaquants sont généralement motivés pour obtenir certaines données ou les détruire :

annonces sur les forums de « quasi-hackers »

Dans ce cas, l'attaquant ne se limitera pas aux méthodes passives - il attaquera très probablement le site jusqu'à ce qu'il obtienne le résultat souhaité, en utilisant toutes les combinaisons possibles de vecteurs d'attaque.

Un audit de sécurité complet, qui comprend généralement les actions suivantes, peut aider à augmenter considérablement la sécurité d'un site :

• Recherche de vulnérabilités dans les composants du serveur ;
• Recherche de vulnérabilités dans l'environnement Web du serveur ;
• Vérifiez l'exécution à distance de code arbitraire ;
• Vérification des injections (injection de code) ;
• Tente de contourner le système d'authentification des ressources Web ;
• Vérification d'une ressource Web pour les vulnérabilités "XSS" / "CSRF" ;
• Tentatives d'interception de comptes privilégiés (ou de sessions de tels comptes) ;
• Tente d'effectuer l'inclusion de fichiers à distance / l'inclusion de fichiers locaux ;
• Rechercher des composants avec des vulnérabilités connues ;
• Vérifiez les redirections vers d'autres sites et ouvrez les redirections ;
• Analyser des répertoires et des fichiers en utilisant la force brute et "google hack" ;
• Analyse des formulaires de recherche, des formulaires d'inscription, des formulaires d'autorisation, etc. ;
• Vérifier la ressource pour la possibilité d'obtenir ouvertement des informations confidentielles et secrètes;
• Attaques de classe de condition de course ;
• Intégration d'entités XML ;
• Sélection de mots de passe.

Un audit de sécurité de site Web est une mesure proactive qui vous permet d'obtenir une évaluation adéquate de la sécurité d'une ressource de l'entreprise, des informations complètes sur les vulnérabilités trouvées, les scénarios d'attaque possibles et des recommandations pour leur élimination. Ceci, en fait, n'est pas un événement, mais un processus continu pour assurer la sécurité des processus commerciaux du site Web de l'entreprise, maintenir la réputation de l'entreprise, la croissance économique et le développement des affaires.

N'attendez pas que votre site soit attaqué par des intrus - commandez un audit complet de la sécurité de votre site Web auprès de professionnels.

L'importance de la sécurité de l'information grandit chaque année, car la fraude sévit, de nouvelles méthodes de tromperie apparaissent sur le Web. Et l'une des options les plus simples contre la fraude sur Internet reste la diffusion de liens malveillants. En cliquant sur un tel lien, l'utilisateur se retrouve sur le site des intrus, d'où des virus, backdoors et autres malwares peuvent être téléchargés. Cette méthode est populaire car les gens s'envoient chaque jour des liens vers des articles, des fichiers, des vidéos et d'autres contenus, et l'attention diminue. Les utilisateurs s'habituent au fait que tous les liens mènent à des sites familiers, sûrs et fiables et cessent de regarder le texte sur lequel ils cliquent avec la souris.

Certains sites semblent absolument normaux lorsqu'ils sont connectés à partir d'un ordinateur. Cependant, en y accédant à partir d'un appareil mobile, vous pouvez accéder à un site au contenu désagréable, à partir duquel l'appareil sera simplement bloqué. Les redirections peuvent passer complètement inaperçues, de sorte que les utilisateurs expérimentés s'abstiennent généralement de cliquer sur des liens depuis des téléphones ou des tablettes.

Voici quelques conseils simples pour vous aider à éviter les dommages qui pourraient être causés par des intrus :

Rappelles toi! Les fraudeurs essaieront toujours d'escroquer les citoyens honnêtes et de proposer de nouvelles méthodes de tromperie, de sorte qu'ils nécessitent des mises à jour régulières. Réfléchissez toujours avant de prendre une décision, ne vous fiez pas aux réflexes, aux actions automatiques !

Méthode numéro 1. Vérification en ligne pour le Dr. la toile

Sur le site Web du développeur de programmes antivirus Dr. Web a une page avec la fonction de vérification en ligne de tous les liens provenant d'Internet. Vous pouvez trouver vous-même des sites similaires, appartenant à des sociétés de logiciels antivirus bien connues.

Sur le Dr. Web Vous trouverez une ligne pour entrer un lien. Copiez soigneusement le lien qui nécessite une vérification (ne le suivez pas), collez-le dans la ligne. L'URL complète est requise pour la validation.

Cliquez sur le bouton et attendez que le résultat apparaisse. Dans la fenêtre qui s'ouvre, vous trouverez des informations complètes sur l'URL saisie et tous les liens enfants qu'elle contient.

Méthode numéro 2. 2ip

2ip.ru est un site populaire dans le segment russophone d'Internet qui contient de nombreuses informations utiles et des fonctions pratiques. L'un d'eux vérifie la présence de virus sur le site.

Allez sur 2ip.ru, entrez l'adresse du lien à vérifier dans la ligne spéciale et après avoir cliqué sur "Vérifier", attendez le résultat.

La différence entre ce service et la vérification via Dr. Web est que le Dr. Le Web va plus en détail, donnant un rapport complet de tous les liens enfants.

Vidéo - Comment vérifier la sécurité d'un lien

Récemment, Internet est devenu le principal habitat des virus, car c'est là seulement qu'ils peuvent efficacement se propager sur les ordinateurs des utilisateurs. L'époque où les systèmes étaient infectés via des disques ou des cartes flash est révolue. Avec l'augmentation de la quantité d'informations téléchargées, le nombre d'ordinateurs infectés a augmenté, car les utilisateurs perçoivent la menace d'Internet comme quelque chose d'abstrait et qui ne les affecte pas.

Malheureusement, ce n'est pas le cas. Négliger les bases de la sécurité peut compromettre nos données stockées sur disques durs. Les infections des ordinateurs des grandes entreprises sont devenues révélatrices virus ransomware, qui a extorqué de l'argent pour le déverrouillage, et autrement crypté les données. La plupart d'entre eux l'ont contractée par inattention banale.

Prévention des infections

Tout d'abord, vous devez utiliser des programmes antivirus. La plupart d'entre eux sont capables filtre trafic, avance Attention utilisateurs sur le danger qui guette la ressource en cours d'ouverture. Même les versions gratuites peuvent améliorer considérablement la protection de votre ordinateur.

Deuxièmement, vous devriez aller à navigateurs, dans lequel est intégré vérification du site Web. Ils avertissent du danger qui guette les utilisateurs sur tel ou tel site. Un de ceux-là - Navigateur Yandex. Intégré par défaut brancher, scannant le site et restreignant l'accès aux ressources franchement malveillantes. Si l'utilisateur essaie d'accéder à une telle page, il verra un avertissement sur le danger et une suggestion pour fermer l'onglet.

Troisièmement, essayez ne pas traverser sur les liens suspects dans les réseaux sociaux. Vkontakte lui-même avertit que le site peut être dangereux, alors ne négligez pas les conseils du service. La plupart des infections se produisent de cette façon.

Utiliser Google pour vérifier

Cette option convient aux propriétaires de sites qui veulent s'assurer que leurs créations ne nuisent pas aux utilisateurs du World Wide Web. Si le site ne vous appartient pas, vous ne pourrez pas le vérifier via les moteurs de recherche.

Pour commencer, allons à panneau de webmaster. Il se trouve sur google.com/webmasters/tools/home (vous devez être connecté à votre compte Google). Après cela, cliquez sur le bouton " Ajouter une ressource” et entrez le lien vers le site dans la case. Après cela, appuyez sur " Ajouter».

Après cela, nous aurons besoin confirmer droits des sites. Pour ce faire, vous devez placer un modèle HTML sur la ressource afin que Google puisse nous identifier. Nous effectuons toutes les actions à partir des instructions et cliquez sur " Confirmer».

Après confirmation, nous pouvons voir toutes les informations sur notre site. Pour cela, sélectionnez l'onglet " Les problèmes de sécurité". S'il y a des virus sur la page, le système nous en informera. Sinon, nous verrons une telle image.

Yandex pour vérifier les virus

Dans l'ensemble, dans Yandex, nous répétons la même procédure que dans Google :

Docteur Web et Kaspersky

Pour la plupart, en vérifiant le site via ces deux services, vous pouvez être sûr à 97% que le site ne contient pas de virus. Ces laboratoires ont consacré des années au développement de programmes antivirus, il n'y a donc aucun doute sur leur compétence. Commençons par Doctor Web.

Nous allons sur le site officiel vms.drweb.ru/online. En plus de rechercher les virus, vous pouvez voir une vaste sélection informations sur les virus et leur propagation. La partie principale de la page est la barre d'adresse au milieu, dans laquelle entrer le lien sur la ressource en cours de vérification et cliquez sur " Vérifier».

Après un certain temps, nous recevrons une description détaillée des vérifications effectuées, ainsi qu'une conclusion sur le danger ou la sécurité de la page.

Travailler " Kaspersky' est construit sur le même principe. Cependant, ici, nous pouvons également vérifier des dossiers. Entrer URL dans la barre d'adresse et cliquez sur Vérifier.

Contrairement au service précédent, nous ne sommes pas chargés des détails de la vérification, mais donnons immédiatement le résultat.

Autres services en ligne

En plus de ceux déjà envisagés, il existe d'autres services de vérification des liens :

Il arrive souvent qu'on nous propose de suivre un lien.
Et nous avons peur. Parce que nous ne sommes pas sûrs que le site sur lequel nous allons soit sûr pour notre ordinateur.

Je vérifie tous les liens qui me sont inconnus sur le site Virustotal.com/ru.
Mais il existe de nombreux autres sites sur Internet où vous pouvez faire la même chose. Et puisque j'ai choisi Virustotal pour moi, je vais vous expliquer en utilisant l'exemple de ce site particulier.

Et aussi, vous pouvez vérifier la sécurité du lien dans Dr.WEB
en temps réel, en ligne - sans quitter cette page.
Au bas de la page - Site Dr.WEB, pour vérifier les liens.

sur Virustotal.com/fr. en temps réel, en ligne

Premièrement, pour que le lien soit vérifié en russe -
vous devez vous rendre sur Virustotal.com/ru avec le navigateur Google Chrome ou Internet Explorer. Parce que Mozilla Firefox, Safari et Opera ne traduisent pas immédiatement le texte de l'anglais vers le russe. Ci-dessous, une capture d'écran de Virustotal.com/en ouvert dans le navigateur Safari.

Bien sûr, vous pouvez vérifier le lien sans traduction. Pour cela, cliquez sur le lien "scanner une URL" (souligné en rouge). Un onglet similaire s'ouvrira là où vous tapez l'URL, c'est-à-dire le lien que vous souhaitez vérifier, puis cliquez sur le gros bouton bleu "Scan in!" ci-dessous. (scan) et après un court laps de temps, vous recevrez le résultat. Mais aussi en anglais.

Comment vérifier un fichier suspect sur un ordinateur sur Virustotal.com

Comment vérifier un fichier depuis un ordinateur
pour les virus et chevaux de Troie sur Virustotal.com/ru

Comme vous pouvez le voir en haut de la capture d'écran, dans la ligne "Taux de détection :" il y a une fraction 0/20. Zéro à gauche signifie qu'aucun des scanners impliqués dans la vérification de ce lien n'a trouvé quoi que ce soit de malveillant sur le site vérifié. Si un ou plusieurs scanners détectent quelque chose de négatif sur le site en cours de vérification, alors au lieu du chiffre 0, il y aura un chiffre indiquant le nombre d'avis négatifs et la couleur de ce chiffre ne sera plus verte, mais jaune ou rouge.

Numéro 20 à droite - indique le nombre de participants
en explorant les URL et en mettant un avis de "site propre" dans le tableau. Et si un ou plusieurs scanners détectent quelque chose de négatif sur le site en cours de vérification, alors au lieu d'un «site propre» de couleur verte, il y aura un examen indiquant que le site et la couleur de cette entrée ne seront plus verts. "Sites non notés" dans les résultats de crawl - signifie "non noté".

L'icône en haut à droite indique la réputation du lien coché. Un pouce rouge vers le bas et un nombre indiquent des avis négatifs, un pouce vert vers le haut et un nombre indiquent de bons avis.

Étant donné que mon site, au moment de cet examen, n'a que cinq mois -
alors il est tout à fait naturel que des zéros soient dans l'icône concernant la réputation du site.
Ni mauvais ni bon.

Comment vérifier gratuitement un lien sur Internet
dans Dr.WEB en temps réel, en ligne