Mga Kapansanan sa Proseso ng Negosyo Nakikita Posing Mga Seguridad sa Mga Seguridad

Ang pagpapatakbo ng isang secure na Web site ay nangangahulugan ng higit pa sa pagbantay laban sa cross-site scripting at pag-atake ng iniksyon ng SQL. Ang mga kapintasan sa mga proseso ng negosyo na pinagbabatayan ng mga Web site ay maaari ring magpakita ng malubhang mga panganib sa seguridad, ang CTO ng isang kumpanya sa seguridad sa Web ay nagsabi ng Huwebes.

Mga kapintasan sa mga proseso, o logic ng negosyo, para sa mga Web site ay maaaring patunayan ang napakalaking kapakinabangan sa mga hacker, nangangailangan ng kaunti ang kakayahan upang mapagsamantalahan at kung minsan ay technically hindi ilegal upang samantalahin, sinabi Jeremiah Grossman, CTO ng WhiteHat Security, sa Source Boston Security Showcase.

"Ang mga isyu na ito ay karaniwang kung alam mo kung ano ang hahanapin," sinabi niya.

[Karagdagang pagbabasa: Paano mag-alis ng malware mula sa iyong Windows PC]

Nag-alok siya ng ilang halimbawa ng mga kapintasan na ito, kabilang ang mga natagpuan sa mga disenyo ng Web site, mga sistema ng pagpapatunay ng Captcha at mga pribilehiyo ng gumagamit. Ang mga taong sinasamantala ang mga ito ay kadalasang ipinagbabawal lamang sa paggamit ng isang serbisyo, bagama't kung minsan ay hinahamak sila.

Noong 2007 isang babae ang inakusahan ng scamming QVC ng US $ 412,000 sa pamamagitan ng pagsasamantala ng isang depekto sa lohika ng negosyo nito. Naglagay siya ng mga order para sa 1,800 item gamit ang home-shopping network at pagkatapos ay kinansela ang mga order sa Web site nito. Nakatanggap siya ng credit para ibalik ang merchandise, ngunit ang mga item ay ipinadala sa kanya pa rin at ibinebenta niya sa eBay, sinabi ng Kagawaran ng Hustisya. Alam ng QVC ang bagay na ito kapag nakipag-ugnay ito sa mga gumagamit ng eBay tungkol sa pagtanggap ng mga item pa rin sa packaging nito. Ang babae ay nagtakwil ng kasalanan sa pandaraya sa kawad.

Ang mga tampok ng pag-reset ng password ay maaaring humantong sa hindi awtorisadong pag-access sa account kung magtanong sila ng mga halatang tanong at may mga menor de edad na piraso ng impormasyon tungkol sa kanilang mga biktima. Nagbigay ang Grossman ng isang halimbawa na kinasangkutan ng dating mobile service provider na Sprint. Upang i-reset ang mga password nito, sinabi niya, kailangan ng isang hacker na malaman lamang ang numero ng mobile-phone ng isang tao at isang pangunahing piraso ng impormasyon tulad ng kung saan sila nakatira o ang kanilang sasakyan. Maaaring pinapayagan nito ang isang hacker na mag-order ng mga bagong telepono sa pangalan ng biktima o mag-install ng mga bagong serbisyo sa kanilang telepono.

Ang mga kupon ng E-ay nagiging panganib sa mga mangangalakal kung ang mga numero ng kupon ay malapit sa bawat isa nang sunud-sunod. Nakita ng isang retailer ang ilan sa mga mataas na presyo nito na nagbebenta ng ilang dolyar pagkatapos ng isang hacker ay nagsulat ng isang script upang matuklasan ang mga numero ng kupon na naiiba sa pamamagitan lamang ng ilang mga digit, sinabi ni Grossman. Natuklasan ng retailer ang problema kapag ang mga system logs nito ay natuklasan ng isang kasaganaan ng mga order na naproseso sa gabi habang ang script ng hacker ay tumakbo.

Mga Hacker ay maaaring manghimok sa iba pang mga Web Surfers upang malutas ang mga pagsusulit ng Captcha para sa kanila sa pamamagitan ng pagpapaalam sa mga ito sa mga Web site na may pangako ng libre musika o nilalamang pang-adulto. Kinakailangan ng mga captchas ang isang tao na maintindihan ang isang string ng mga ginulo character upang mag-sign up para sa mga serbisyo tulad ng isang Web e-mail account. Ang mga surfers sa Web ay nilulutas ang Captchas, na ipinadala sa pamamagitan ng proxy server sa hacker, na pagkatapos ay ginagamit ang mga ito upang mag-sign up para sa maramihang mga e-mail account para sa pagpapadala ng spam o ilang iba pang aktibidad.

"Hangga't mayroon kang sapat na mga gumagamit na darating sa iyong Web site, nakuha mo ang Captcha na lutasin, "sabi ni Grossman. "Gusto ng mga bad guys na talunin ang mga Captchas upang maaari nilang spam sa amin."

Isa pang kapintasan ay nagbibigay sa mga gumagamit ng access sa lahat ng bahagi ng isang Web site kapag mayroon silang login o password para sa isang partikular na serbisyo doon. Halimbawa, nag-sign up ang mga empleyado sa isang kompanya ng Estonian para sa serbisyo ng pahayag ng Negosyo Wire noong 2004. Ipinalagay nito na ang mga URL sa site ay naglalaman ng impormasyon tungkol sa mga paglabas ng balita na hindi pa nai-publiko. Gamit ang isang programa na naghahanap para sa mga URL, ang mga empleyado sa kompanya ay nakapag-alis ng sensitibong impormasyon sa negosyo at pinansyal. Pagkatapos bumibili at nagbebenta ng stock batay sa impormasyong ito, ang mga empleyado ay gumawa ng $ 7.8 milyon, ngunit naitala din sa mga singil sa pandaraya sa pamamagitan ng mga regulator ng US.

Sinabi niya na malamang na maraming mga katulad na gayong mga pagkakataon na hindi kailanman napapansin dahil ang mga nagkasala ay hindi nahuli.

Ang seguridad sa web ay umaabot sa hindi katiyakan ng kalidad at maayos na pagdidisenyo ng mga application sa Web upang isama kung paano naka-set up ang mga serbisyo upang gumana, sinabi niya.