2018-02-14
336
Данная атака направлена в первую очередь на конечных пользователей интернет-магазина. То есть непосредственную угрозу она несет не для самой электронной торговой точки, а для ее клиентов. Хотя, конечно, и интернет-магазину межсайтовый скриптинг может нанести очень значительный ущерб: вряд ли кто-то из покупателей в будущем решится иметь дело с этим продавцом.
|
Межсайтовый скриптинг возможен только тогда, когда на сайте есть форма, которая принимает информацию от посетителя, обрабатывает ее и выводит результаты на динамически генерируемую страницу. Причем среди результатов должна быть и введенная пользователя информация. Таким образом, чаще всего уязвимыми местами интернет-магазинов становятся система заказа товара, раздел регистрации новых клиентов и поиск товаров.
Принцип работы межсайтового скриптинга заключается в следующем. Злоумышленник в одном из текстовых или строковых полей формы вводит не ожидаемую от него информацию, а специальный JavaScript-код, после чего отправляет его на сервер. Если движок интернет-магазина не анализирует получаемую от клиента информацию, то у хакера может получиться внедрить собственный скрипт в систему. Зачем это нужно? Чаще всего именно таким образом злоумышленники воруют данные, хранящиеся в файлах cookies жертв. Как известно, доступ к ним может получить только тот сервер, который их записал. Внедрив же в систему интернет-магазина собственный скрипт, хакер может заставить интернет-магазин отправлять ему данные о всех пользователях, установивших с ним связь.
Есть у хакеров и другой способ использования межсайтового скриптинга для получения интересующей его информации о пользователе. В этом случае злоумышленник встраивает в систему JavaScript-код, открывающий на компьютере жертвы небольшое окно с запросом аутентификационных данных или, например, информации о кредитной карточке. Внешне все это выглядит так, как будто вопрос задает система интернет-магазина. Однако на самом деле введенные данные отправляются на сервер злоумышленника. В некоторых случаях с помощью межсайтового скриптинга хакер может вообще незаметно перенаправить посетителя с электронной торговой точки на ее полную копию. В этом случае пользователь будет работать на поддельном сайте, самостоятельно отправляя злоумышленнику важную информацию и даже перечисляя на его счета деньги в уплату за несуществующий товар. Такой метод мошенничества называется фишингом.
http://www.2x4.ru/protected.html
Syn flood - вид атаки которые проще всего организовать с одного компьютера. Атакующий пытается шлет множество пакетов на открытие TCP соединений и не закрывает их. Тем самым пробудет израсходовать ресурсы веб сервера.
UDP flood -атака направленная на то чтобы заполнить канал к серверу паразитным трафиком. UDP пакеты легко слать и можно отправлять пакеты большого размера. Протокол UDP не использует подтверждение и не является гарантированным в плане доставки пакетов. Этим часто пользуются для того чтобы блокировать работу сайта расположенного на сервере с узким каналом.
ICMP flood -аналогичная атака за исключением того что используется протокол служебных сообщений. Именно ICMP используется при выполнении команды ping.
TCP flood - метод атаки когда на сервер с сайтом посылается большое кол-во пакетов TCP искуствено сформированных и не являющихся результатом установления TCP сессии.
HTTP flood -самые изощренные и сложные атаки реализуются именно по этому методу. Зараженные компьютеры массово пытаются обращаться по адресу сайта, фиксированному или с переменными параметрами. Атаку реализуют посылая большое кол-во запросов вида "HTTP 1.0 GET /" на сайт принуждая веб сервер сайта отдавать контент страницы и тем самым приводя к перегрузке сервера.
http://www.zacaz.ru/page/page96.html
В некоторых случаях мы можем получать информацию, которая не относится к Персональным данным. Примерами информации такого типа может быть тип Internet-браузера, которым вы пользуетесь, тип операционной системы, которую вы используете на компьютере или название домена web-сайта, с которого вы подключились к нашему сайту или к рекламному объявлению.
3) придумать способы защиты своей системы (АБС) от атак
http://www.warning.dp.ua/fin2.htm
