В началото световната мрежа започна като статични сайтове. Страниците в уебсайтовете са изградени върху прости и плоски HTML текстови файлове. С нарастването на популярността на световната мрежа бяха въведени повече функции като добавяне на изображения, съхранение, качване и изтегляне на файлове.

В резултат на това изграждането и поддържането на цели уебсайтове ръчно стана много трудно. За да преодолеят това, разработчиците създадоха нещо, наречено система за управление на съдържанието (CMS) за автоматизиране и рационализиране на процеса.

В началото на 2000-те години бяха въведени системи за управление на съдържанието с отворен код като Drupal, WordPress и Joomla. Те бяха фокусирани основно върху едно нещо – улесняват изграждането и поддържането на уебсайтове за нетехнически хора.

Системите за управление на съдържанието представляват привлекателни цели за киберпрестъпници и спонсорирани от държавата противници. Сайтовете за електронна търговия, страниците за връзки с инвеститорите и HR порталите са само три примера, при които уязвимостите на CMS могат да причинят сериозна репутация и финансова вреда.

За да стане възможна работата на CMS, хостингът и работата на дадено уеб приложение, са необходими няколко компонента. В основна среда трябва да има поне софтуер за уеб сървър (като Apache или IIS), операционна система за уеб сървър (като Windows, Linux, MacOS), сървър за бази данни (като MySQL, MSSQL или PostgreSQL) и мрежова услуга, като FTP или SFTP.

За сигурен уеб сървър всички тези компоненти също трябва да бъдат защитени, за да сте сигурни, че чувствителните данни са защитени правилно. Ако сигурността се наруши във всеки един момент, злонамерените атакуващи могат да получат достъп до уеб приложението и да извлекат данни от базата данни или да я подправят.

1.Същност на системите за управление на съдържанието /CMS/

Система за управление на съдържанието (CMS) е софтуерна платформа, която позволява на потребителите да изграждат и управляват уебсайт с ограничени технически познания и ресурси. Позволява на потребителите да създават, управляват и модифицират съдържание на уебсайт със своя графичен потребителски интерфейс (GUI), който прави взаимодействието много удобно за потребителя, без да са необходими технически познания.

CMS се състои главно от два елемента: Приложение за управление на съдържанието (CMA) и Приложение за доставка на съдържание (CDA).

CMA позволява администрирането на потребители и групи, така че те да могат да създават, променят и премахват съдържанието на сайта. Той също така включва интерфейса на потребителския интерфейс, който позволява на потребителя да прави промени в съдържанието на уебсайта, без да знае HTML, Cascading Style Sheets (CSS) или езици за програмиране.

Приложението за доставка на съдържание (CDA) компилира тази информация и актуализира уебсайта.

Най-популярните CMS платформи, които се използват днес, са WordPress, Joomla и Drupal. Според проучване на w3techs тези три платформи се комбинират, за да поддържат над 75% от всички уебсайтове, поддържани от CMS, които в момента са в интернет.

Според проучване на Sucuri, WordPress е най-уязвимата CMS, следвана от Joomla и Drupal. Повечето от тях са известни уязвимости, които могат лесно да бъдат открити с помощта на автоматизирани инструменти. Като се има предвид факта, че по-голямата част от уебсайтовете на CMS работят на WordPress, ние написахме отделен блог, който подробно описва защитата на WordPress .

Защо се появяват уязвимости В CMS платформи?

Тъй като повечето CMS платформи са с отворен код, те са уязвими по природа. Системите за управление на съдържанието, изградени върху рамка с отворен код, имат своите предимства като съвместна среда, споделяне и модифициране на изходния код заедно и много други.

Но основното притеснение е, че няма кой да поеме отговорността за намиране и коригиране на уязвимостите на сигурността на CMS навреме. Тъй като е безплатен и никой не поема отговорност за решаване на проблеми със сигурността, крайният продукт често има критични уязвимости в сигурността. Някои от тези уязвимости в сигурността се намират или от изследователи по сигурността, или от нападатели.

В миналото, преди да са възникнали системите за управление на съдържанието, нападателят е трябвало да идентифицира цел като банка или сайт за електронна търговия. За да компрометира или открадне данните, нападателят трябваше да намери уязвимости в целта.

Със системите за управление на съдържанието, ако нападателят открие уязвимост, той / тя може да създаде много по-ефективен начин за автоматизиране и изпълнение в масова атака на ниво. След като бъде установена уязвимост, нападателите могат да използват търсачка, за да могат лесно да отпечатват уебсайтове на базата на CMS и да я използват в множество CMS на различни компании.

В допълнение към този проблем, някои собственици на уебсайтове, които използват слаби пароли, оставят своите администраторски акаунти уязвими към автоматизирани атаки с груба сила. CMS като WordPress включват потребителски акаунт на администратор по подразбиране с име „admin“, което улеснява атакуващия.

Също така CMS имат плъгини, теми, модули и други интеграции. Много CMS плъгини и теми са изложени на атаки като скриптове между сайтове, SQL инжектиране, обхождане на пътеки и др. Уязвимости в WordPress плъгини и WordPress теми продължават да бъдат сериозна заплаха в WordPress уебсайтове.

Ако тези уязвимости не бъдат отстранени своевременно, те могат лесно да бъдат използвани от нападател. Препоръчително е да не стартирате CMS в конфигурацията по подразбиране. Той трябва да бъде надграден незабавно, когато е налична нова версия.

Но администраторите често забравят да актуализират добавките, докато надграждат основната система, като по този начин оставят място за уязвимости. Също така WordPress и други CMS платформи използват протокол, наречен „XML-RPC“, който се използва за предоставяне на услуги като pingbacks, trackbacks и отдалечен достъп до потребителите. Атакуващите могат да използват този протокол, за да инициират DDoS атаки.

• Често срещани уязвимости на CMS

Атака с груба сила

Атаката с груба сила използва метод проба-грешка за въвеждане на множество потребителски имена, пароли или комбинации от двете отново и отново, докато не бъде открита успешна комбинация.

По подразбиране сайтовете на WordPress не ограничават опитите за влизане. Така нападателят може да програмира ботове да отворят страница за вход и да започнат да извършват груба атака. Ако паролата е слаба, инструментът за принуждаване към груба обработка в крайна сметка ще получи правилните идентификационни данни и ще получи достъп до приложението.

Дори ако атаката с груба сила се провали, тя все пак може да причини проблеми на вашия сървър, тъй като твърде много опити за влизане могат да претоварят системата ви и да забавят уебсайта ви.

Докато сте под атака с груба сила, някои хостове могат да спрат акаунта ви, особено ако сте на споделен хостинг план, поради претоварване на системата.

SQL инжекция

SQL инжектирането се случва, когато добавените стойности във входните полета не са правилно санирани, което позволява евентуални изпълнения на SQL заявки.

След успешно SQL инжектиране, нападателят може евентуално да получи достъп или е в състояние да създаде нов привилегирован потребителски акаунт, който след това да се използва за влизане и получаване на пълен достъп до вашия уебсайт.

SQL инжекциите могат също да се използват за вмъкване на нови данни във вашата база данни, промяна или изтриване на съществуващи данни.

Cross-Site Scripting

Cross Site Scripting (XSS) е атака от страна на клиента за инжектиране, при която нападателят инжектира злонамерени скриптове в уеб страница, която при зареждане от страна на клиента започва да събира данни и евентуално да пренасочва към други злонамерени сайтове.

Тази уязвимост се използва главно за кражба на бисквитки на сесиите на потребителите, което позволява на нападателя да се представя за жертвата.

Може да се класифицира в три основни категории, а именно съхранявани XSS, отразени XSS и базирани на DOM XSS. Това е една от най-често срещаните уязвимости в уебсайтовете и е много лесно да ги намерите и поправите. За да избегнете този тип уязвимост, трябва да използвате правилна проверка на данните в уебсайта.

DDoS Атака

При атаките за отказ на услуга (DoS) голям брой заявки се отправят към уеб сървър, което го прави бавен и в крайна сметка се срива. Сървърът е залят от заявки, които го претоварват и правят недостъпен за предвидените потребители.

Distributed Denial-of-Service (DDoS) е подобрена версия на DoS. DoS атака се извършва с помощта на един източник, докато DDoS е организирана атака, изпълнявана чрез множество машини, известни като ботнети. Той ще скрие произхода на трафика и ще увеличи обема на изпратените заявки.

Експлойти за включване на файлове

Уязвимостите при включване на файлове често се срещат в лошо кодирани сайтове. Тези уязвимости се случват, когато даден сайт позволява на потребителя да подава вход във файлове или да качва файлове на сървъра, ако PHP кодът не потвърждава предоставения от потребителя вход.

Уязвимостите при включване на файлове обикновено се класифицират на две: Локално включване на файлове (LFI) и Отдалечено включване на файлове (RFI).

Уязвимостите на LFI позволяват на нападателя да чете и понякога изпълнява файлове на машината на жертвата. Ако уеб сървърът е неправилно конфигуриран или работи с високи привилегии, нападателят може да получи достъп до чувствителна информация. Чрез тази уязвимост хакерите могат да получат достъп до конфигурационни файлове на сървъра.

От друга страна, вместо да осъществи достъп до файл на локалния уеб сървър, ако нападателят е в състояние да изпълнява код, хостван на собствената си машина, той е известен като RFI.

Обход на директория

Обхождането на директории е HTTP атака, която позволява на нападателя достъп до ограничени файлове, директории и команди, които се намират извън основната директория на уеб сървъра.

Известна е също като атака ../ (наклонена точка с точка), изкачване на директория, обръщане на пътека или обратно проследяване.

Атакуващият може да използва тази уязвимост, за да излезе от основната директория на уеб сървъра и да осъществи достъп до други части на файловата система, за които уеб сървърът има разрешение за четене. Това може да позволи на хакера възможността да преглежда ограничени файлове, което може да предостави на хакера повече информация, необходима за допълнително компрометиране на системата.

Как да защитим уебсайта си от уязвимости на CMS

Потребителите могат да направят различни неща, за да защитят уебсайтовете си от уязвимостите на CMS и да защитят системите от атаки. Следват някои от нещата, които можете да направите, за да защитите уебсайта си на CMS.

Поддържайте вашите CMS платформи актуални и създайте редовен график за актуализиране или корекция на уязвимостите на CMS, заедно с всички компоненти като инсталирани плъгини и теми.

Извършвайте редовно архивиране на използваната CMS и нейната база данни, като минимум всяка седмица.

Използвайте параметризирани заявки, за да предотвратите атаки като SQL инжектиране. Също така, правилно санирайте въвеждането на потребителя, за да предотвратите други инжекционни атаки.

Променете потребителските имена по подразбиране като „администратор“ и използвайте силни пароли (с дължина най-малко осем знака с комбинация от главни букви, малки букви, цифри и специални знаци) за административната зона и сървъра на вашия уебсайт. Винаги съхранявайте паролите като криптирани стойности и редовно ги променяйте, за да ги запазите сигурни и също така избягвайте повторната им употреба.

Инсталирайте SSL на вашия уеб сървър, който установява сигурна връзка между вашия сървър и клиента.

Преименувайте вашите администраторски директории на име по ваш избор, известно само на вашите администратори.

Проследявайте последните уязвимости за конкретната CMS, която използвате, като се абонирате за всеки редовно актуализиран канал или блог. (напр. WordPress)

Използвайте плъгин за силно удостоверяване или използвайте двуфакторно удостоверяване (2FA) за допълнителен слой защита.

Изберете защитна стена за уеб приложения (WAF), която добавя допълнителен слой сигурност към вашия уеб сайт за управление на съдържанието, за да остане защитен от атаки.

Сканирайте уебсайта си на CMS редовно, като използвате автоматичен инструмент за тестване на проникване като Beagle Security, за да сте сигурни, че няма уязвимости.

Как браузърът създава уязвимости на CMS

Повечето експлойти на CMS разчитат на браузъра. Традиционните браузъри изпълняват произволен код от мрежата локално, на машината на диспечера на съдържанието. Несигурните наслагвания, изскачащите прозорци, плъгини и добавки, работещи в браузърите на потребители на CMS, излагат на допълнителна опасност защитата на крайната си точка и уебсайта. Приставките, разширенията и модулните добавки за уеб браузъри често се отвличат при насочени атаки, насочени към уеб разработчици, мениджъри на съдържание и рекламни послания, което изостря рисковете за сигурността на CMS.

„Важно е да изолирате модули и добавки в CMS, за да смекчите заплахите за сигурността“, казва Гари Браунриг, главен изпълнителен директор и основател на QuickSilk , доставчик на защитени системи за управление на съдържанието на SaaS за SMBs и SMEs.

„Нетехническите крайни потребители никога не трябва да получават достъп до добавките или кода на приставките и те не трябва да имат възможност да създават свои собствени модули. Разработчиците с административни права за създаване или управление на разширения трябва да работят в специални подсистеми (т.е. контейнери) и да извършват цялото развитие, използвайки API на CMS.“