Feil i forretningsprosessene som ser på sikkerhetsrisiko

Å kjøre et sikkert nettsted betyr mer enn bare å beskytte mot cross-site scripting og SQL injeksjonsangrep. Mangler i forretningsprosessene som ligger til grunn for nettsteder kan også presentere alvorlige sikkerhetsrisiko, sier CTO fra et websikkerhetsfirma torsdag.

Feil i prosessene eller forretningslogikken, for nettsteder kan vise seg å være svært lønnsomme for hackere, krever lite ferdighet til å utnytte og er noen ganger teknisk ikke ulovlig å utnytte, sier Jeremiah Grossman, CTO for WhiteHat Security, på Source Boston Security Showcase. "Disse problemene er vanlige hvis du vet hva du skal se etter," sa han.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

Han tilbød flere eksempler på disse feilene, inkludert de som finnes i webdesign, Captcha-autentiseringssystemer og brukerrettigheter. Personer som utnytter dem, blir ofte bare forbudt fra å bruke en tjeneste, men noen ganger blir de påtalte.

I 2007 ble en kvinne anklaget for å svindle QVC ut av US $ 412,000 ved å utnytte en feil i sin forretningslogikk. Hun lagde bestillinger på 1800 artikler med hjemmekjøpsnettverket og deretter avbrutt ordrene på sitt nettsted. Hun mottok kreditt for å returnere varene, men varene ble sendt til henne uansett, og hun solgte dem på eBay, sa justisdepartementet. QVC ble oppmerksom på saken når eBay-brukere kontaktet det om å motta varer som fortsatt var i emballasjen. Kvinnen til slutt pledte seg skyldig til bedrageri.

Tilbakestillingsfunksjoner for passord kan føre til uautorisert tilgang til kontoer hvis de stiller innlysende spørsmål og hackere har mindre informasjon om deres ofre. Grossman tilbød et eksempel som involverte tidligere mobilleverandør Sprint. For å tilbakestille passordene, sa han at en hacker behøvde å bare vite en persons mobilnummer og et grunnleggende opplysninger som hvor de bodde eller bilen de kjørte. Dette kunne ha tillatt en hacker å bestille nye telefoner i offerets navn eller installere nye tjenester på telefonen.

E-kuponger utgjør en risiko for selgere hvis kupongnumrene er nær hverandre i rekkefølge. En forhandler så noen av sine dyrevarer som selger for noen få dollar etter at hacker skrev et skript for å avdekke kupongnumre som bare var forskjellig med noen få sifre, sa Grossman. Forhandleren oppdaget problemet da systemloggene avslørte en rekke ordrer som ble behandlet om natten mens hackerens skript kjørte.

Hackere kan overtale andre web surfere til å løse Captcha-tester for dem ved å lokke dem til nettsteder med løftet om gratis musikk eller voksen innhold. Captchas krever at en person skal dechiffrere en rekke jumbled tegn for å registrere seg for tjenester som en e-postkonto på nettet. Web-surfere løser Captchas, som sendes via proxy-server til hackeren, som bruker dem til å registrere seg for flere e-postkontoer for å sende spam eller annen aktivitet.

"Så lenge du har nok brukere som kommer til nettstedet ditt, har du Captcha løst, sier Grossman. "Bad guys vil beseire disse Captchas, slik at de kan spam oss."

En annen feil gir brukere tilgang til alle deler av et nettsted når de har et påloggingsnavn eller passord for en bestemt tjeneste der. For eksempel registrerte ansatte ved et estisk firma for Business Wire pressemeldingstjeneste i 2004. Det fant ut at nettadresser på nettstedet noen ganger inneholdt informasjon om pressemeldinger som ennå ikke var blitt offentliggjort. Ved hjelp av et program som søker etter nettadresser, var ansatte i firmaet i stand til å avdekke sensitive forretnings- og finansiell informasjon. Etter å ha kjøpt og solgt aksjer basert på denne informasjonen, utgjorde de ansatte 7,8 millioner dollar, men ble også rammet av amerikanske regulatorers bedrageri.

Han bemerket at det sannsynligvis har vært mange lignende slike tilfeller som aldri kom til lys fordi gjerningsmennene var aldri fanget.

Websikkerhet strekker seg utover kvalitetssikring og riktig utforming av webapplikasjoner for å inkludere hvordan tjenestene er satt opp til å fungere, sa han.