セキュリティリスクを抱えるビジネスプロセスの欠陥

安全なWebサイトを実行するということは、クロスサイトスクリプティングとSQLインジェクション攻撃から保護するだけでは意味がありません。 Webサイトの基盤となるビジネスプロセスの欠陥も深刻なセキュリティ上のリスクをもたらす可能性があるとWebセキュリティ会社のCTOは木曜日に述べている。

Webサイトのプロセスやビジネスロジックの欠陥は、ハッカーにとって非常に有益であることが証明され、ホワイトボットセキュリティーのCTO、ジェレミー・グロスマン氏は、ソースボストンセキュリティショーケースで述べている。「これらの問題は、何を探すべきか分かっていればよくあることだ。

[その他の情報：Windows PCからマルウェアを削除する方法]

Webサイトの設計、Captcha認証システム、ユーザー特権など、これらの欠陥のいくつかの例を提供しました。

2007年にある女性は、ビジネスロジックの欠陥を利用して412,000米ドルのQVCを詐取したとして非難された。彼女はホームショッピングネットワークで1,800個の商品を注文し、そのウェブサイトで注文をキャンセルした。彼女は商品を返品したことでクレジットを受けたが、その商品は彼女に送付され、彼女はeBayでそれらを売却した、と法務省は述べた。 QVCは、eBayのユーザーがまだパッケージに入っているアイテムを受け取ったことを連絡したときに問題を認識しました。女性は最終的に詐欺行為を犯したと判決を言い渡した。

明白な質問をし、犠牲者に関する小さな情報があれば、パスワードリセット機能は不正なアカウントへのアクセスにつながる可能性がある。 Grossmanは、以前のモバイルサービスプロバイダであるSprintの例を提供しました。そのパスワードをリセットするには、ハッカーは、人の携帯電話番号と、彼らが住んでいた車や彼らが運転した車のような基本的な情報だけを知る必要があると彼は言った。これにより、ハッカーが被害者の名前で新しい電話を注文したり、電話で新しいサービスをインストールしたりすることが可能になりました。

E-クーポンは、クーポン番号が連続している場合、商人にリスクをもたらします。ある小売業者は、ハッカーが数桁だけ異なるクーポン番号を明らかにするためのスクリプトを書いた後、高価な品物の一部を数ドルで売却したと見たという。小売業者は、システムログが、ハッカーのスクリプトが実行されている間、夜間に処理されている大量の注文を明らかにしたときに問題を発見しました。

ハッカーは、他のウェブサーファーにCaptchaテストを解決させ、音楽や大人のコンテンツ。 Captchasは、Web電子メールアカウントなどのサービスにサインアップするために、混乱した文字の文字列を解読する必要があります。 WebサーファーはCaptchasを解決し、これはプロキシサーバー経由でハッカーに送信され、ハッカーはスパムやその他の活動を送信するために複数の電子メールアカウントにサインアップします。

「十分なユーザーがいる限りあなたのWebサイトにはCaptchaが解決しました」とGrossman氏は言います。 「悪い人は、このCaptchasを倒して迷惑メールにしてもらいたい」と言っています。

もう一つの欠陥は、特定のサービスのログインやパスワードがあると、Webサイトのすべての部分にユーザーがアクセスできるようにすることです。たとえば、エストニアの会社の従業員は、2004年にBusiness Wireのプレスリリースサービスにサインアップしました。サイトのURLには、公開されていないニュースリリースに関する情報が含まれていることがありました。企業の従業員は、URLを検索するプログラムを使用して、重要なビジネス情報や財務情報を発見することができました。この情報に基づいて在庫を売買した後、従業員は780万ドルを出したが、米国規制当局による詐欺行為で殴られた。捕まえられなかった。

Webセキュリティは、品質保証を超え、Webアプリケーションを適切に設計して、サービスの動作設定方法も含めているという。