Mangler i forretningsprocesser, der udviser sikkerhedsrisici

At drive et sikkert websted betyder mere end blot at beskytte mod scripts på tværs af websteder og SQL-indsprøjtningsangreb. Mangler i de forretningsprocesser, der ligger til grund for websteder, kan også frembyde alvorlige sikkerhedsrisici, siger CTO fra et web-sikkerhedsselskab torsdag.

Fejl i processerne eller forretningslogikken, for websteder kan vise sig meget rentable for hackere, kræver lidt færdigheder til at udnytte og er undertiden teknisk ikke ulovlig at udnytte, siger Jeremiah Grossman, CTO for WhiteHat Security, på Source Boston Security Showcase. "Disse spørgsmål er almindelige, hvis du ved, hvad du skal kigge efter," sagde han.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

Han tilbød flere eksempler på disse fejl, herunder dem, der findes i webstedsdesign, Captcha-godkendelsessystemer og brugerrettigheder. Personer, der udnytter dem, er ofte simpelthen forbudt mod at bruge en tjeneste, men nogle gange bliver de retsforfulgt.

I 2007 blev en kvinde anklaget for at bedrage QVC ud af US $ 412.000 ved at udnytte en fejl i sin forretningslogik. Hun lagde ordrer til 1.800 varer med hjemmekøbsnetværket og annullerede derefter ordrer på sit websted. Hun modtog kredit for at returnere varerne, men varene blev sendt til hende alligevel, og hun solgte dem på eBay, sagde justitsministeriet. QVC blev opmærksom på sagen, da eBay-brugere kontaktede det om at modtage varer, der stadig var i emballagen. Kvinden blev til sidst skyldig i bedrageri.

Funktioner for adgangskodeåbninger kan føre til uautoriseret adgang til kontoen, hvis de spørger indlysende spørgsmål, og hackere har mindre informationer om deres ofre. Grossman tilbød et eksempel med tidligere mobiltjenesteudbyder Sprint. For at nulstille sine adgangskoder sagde han, at en hacker kun behøvede at kende kun en persons mobilnummer og et grundlæggende stykke information, som f.eks. Hvor de boede eller bilen de kørte. Dette kunne have tilladt en hacker at bestille nye telefoner i offerets navn eller installere nye tjenester på deres telefon.

E-kuponer udgør en risiko for handlende, hvis kuponnumre er tæt på hinanden i rækkefølge. En detailhandler så nogle af sine dyrevarer, der solgte for et par dollars, efter at hacker skrev et script for at afdække kuponnumre, der kun var et par cifre, afviste Grossman. Detailhandleren opdagede problemet, da systemloggene afslørede en overflod af ordrer, der blev behandlet om natten, mens hackerens script løb.

Hackere kan overtale andre websurfere til at løse Captcha-tests for dem ved at lokke dem til websteder med løftet om gratis musik eller voksenindhold. Captchas kræver en person til at dechiffrere en række jumblede tegn for at tilmelde sig tjenester som en web-e-mail-konto. Web-surfere løser Captchas, som sendes via proxyserver til hackeren, hvorefter de bruger dem til at tilmelde sig flere e-mail-konti for at sende spam eller anden aktivitet.

"Så længe du har nok brugere, der kommer til dit websted, du har Captcha løst, "sagde grossman. "Bad guys vil besejre disse Captchas, så de kan spam os."

En anden fejl giver brugere adgang til alle dele af et websted, når de har et login eller adgangskode til en bestemt tjeneste der. For eksempel tilmeldte medarbejdere hos et estisk firma sig til Business Wire-pressemeddelelsen i 2004. Det viste sig, at webadresser på webstedet nogle gange indeholdt oplysninger om pressemeddelelser, der endnu ikke var offentliggjort. Ved hjælp af et program, der søger efter webadresser, var medarbejderne hos virksomheden i stand til at afdække følsomme forretnings- og finansoplysninger. Efter at have købt og solgt aktier baseret på disse oplysninger, lavede medarbejderne 7,8 millioner dollars, men blev også ramt af amerikanske reguleringsmyndigheders bedrageri.

Han bemærkede, at der sandsynligvis har været mange lignende sådanne tilfælde, som aldrig blev afsløret, fordi gerningsmændene var aldrig fanget.

Websikkerhed strækker sig ud over kvalitetssikring og korrekt udformning af webapplikationer for at medtage, hvordan tjenesterne er sat op til at fungere, sagde han.