Насколько это просто
Cтатья "Обеспечение безопасности веб-сайтов" предоставлена Sophos Plc и SophosLabs.
Декабрь 2007 г.
В ходе подготовки данной статьи автор решил узнать, насколько просто найти примеры утечки данных, и ввел в разные поисковые системы используемое по умолчанию имя лог-файла распространенного FTP-клиента. При этом обнаружились тысячи веб-сайтов, на которых этот, казалось бы, маловажный лог-файл FTP находился в открытом доступе (и индексировался без ведома администраторов). Каждый такой сайт может стать прекрасным примером утечки данных.
Вот пример такого лог-файла (с купюрами):
99.07.16 08:34 A x:\xxxxxxxx\xxxxxx\xxxxxx\WS_FTP.LOG <--
<имя сайта> /export/home/<имя пользователя>/xxxxxx/xxxxxx WS_FTP.LOG
99.07.16 08:53 A x:\xxxxxxxx\xxxxxx\xxxxxx\home.html -->
<имя узла> /xx/www/xxxxxx-xxx/xxxxhome.html
Из этого отрывка можно извлечь немало полезных сведений:
Название веб-сайта;
Имя пользователя сервера под управлением Linux или BSD;
Имя узла сервера.
По приведенным данным можно узнать следующее:
Имя узла и IP-адрес веб-сервера.
Удаленный путь, по которому производилось копирование.
Локальный путь, с которого велось копирование.
Подобные сведения представляют большую ценность для злоумышленника, поскольку наличие имени узла и имени пользователя позволяет предпринять попытку получения административного доступа. Помимо этого, злоумышленник может найти телефонный номер или адрес электронной почты компании, предоставляющей услуги веб-хостинга, и попытаться заполучить пароль методами социальной инженерии.
Это зачастую проще, чем атака сервера, поскольку многие компании, предоставляющие подобные услуги, используют при передаче учетных данных лишь минимальные меры безопасности. Причина может заключаться в том, что к ним зачастую обращаются индивидуальные подрядчики, разрабатывающие веб-сайты для третьих сторон, в связи с чем звонок с просьбой предоставить учетные данные или сбросить пароль является вполне обычным делом.
Автор статьи неоднократно проводил аналогичные действия (естественно, легально), но лишь одна из четырех компаний обратилась за разрешением к владельцу веб-сайта.
Вот так все просто.