Насколько это просто

Cтатья "Обеспечение безопасности веб-сайтов" предоставлена Sophos Plc и SophosLabs.

Декабрь 2007 г.

В ходе подготовки данной статьи автор решил узнать, насколько просто найти примеры утечки данных, и ввел в разные поисковые системы используемое по умолчанию имя лог-файла распространенного FTP-клиента. При этом обнаружились тысячи веб-сайтов, на которых этот, казалось бы, маловажный лог-файл FTP находился в открытом доступе (и индексировался без ведома администраторов). Каждый такой сайт может стать прекрасным примером утечки данных.

Вот пример такого лог-файла (с купюрами):

Примечание.

99.07.16 08:34 A x:\xxxxxxxx\xxxxxx\xxxxxx\WS_FTP.LOG <--

<имя сайта> /export/home/<имя пользователя>/xxxxxx/xxxxxx WS_FTP.LOG

99.07.16 08:53 A x:\xxxxxxxx\xxxxxx\xxxxxx\home.html -->

<имя узла> /xx/www/xxxxxx-xxx/xxxxhome.html

Из этого отрывка можно извлечь немало полезных сведений:

  • Название веб-сайта;

  • Имя пользователя сервера под управлением Linux или BSD;

  • Имя узла сервера.

По приведенным данным можно узнать следующее:

  • Имя узла и IP-адрес веб-сервера.

  • Удаленный путь, по которому производилось копирование.

  • Локальный путь, с которого велось копирование.

Подобные сведения представляют большую ценность для злоумышленника, поскольку наличие имени узла и имени пользователя позволяет предпринять попытку получения административного доступа. Помимо этого, злоумышленник может найти телефонный номер или адрес электронной почты компании, предоставляющей услуги веб-хостинга, и попытаться заполучить пароль методами социальной инженерии.

Это зачастую проще, чем атака сервера, поскольку многие компании, предоставляющие подобные услуги, используют при передаче учетных данных лишь минимальные меры безопасности. Причина может заключаться в том, что к ним зачастую обращаются индивидуальные подрядчики, разрабатывающие веб-сайты для третьих сторон, в связи с чем звонок с просьбой предоставить учетные данные или сбросить пароль является вполне обычным делом.

Автор статьи неоднократно проводил аналогичные действия (естественно, легально), но лишь одна из четырех компаний обратилась за разрешением к владельцу веб-сайта.

Вот так все просто.

К следующему разделу