Ataki, których nie zatrzymasz na poziomie aplikacji


2016-01-20
Szerokiej gamie ataków opierających się na HTTP można (i powinno się) zapobiegać już z poziomu aplikacji. Lista OWASP Top 10 jest najlepszym przykładem technik ataków, które można zarówno wykrywać, jak i zapobiegać im na tym poziomie.
Przeczytaj również:
Istnieje mnóstwo narzędzi, w tym do analizy statycznej i dynamicznej czy testów penetrujących, mających za zadanie zapewnić, że podatnosci zostaną wychwycone w odpowiednim momencie i nie przejdą do fazy produkcyjnej. Oczywiście to wszystko pod warunkiem, że testy te zostały wykonane zgodnie z praktyką, polegającą na integracji bieżących zmian w procesie CI/CD, zamiast bycia ostatnim etapem przed oddaniem produktu w ręce użytkowników.

Nawet jeśli udało się wyeliminować wszystkie potencjalne luki w procesie tworzenia oprogramowania, aplikacje nadal mogą być zagrożone. Dzieje się tak ponieważ niektóre ataki nie mogą być wykryte z poziomu aplikacji. W gruncie rzeczy, zanim taki atak dosięgnie aplikację jest już za późno.

Mowa o atakach DDoS na poziomie warstwy aplikacyjnej (HTTP). Tak, właśnie tych, które w niemalże wampiryczny sposób wykorzystując protokół HTTP, wysysają zasoby pamięciowe i obliczeniowe aplikacji, czyniąc ją tym samym bezużyteczną dla użytkowników.

Istnieją dwa typy ataków DDoS: szybki i wolny. Zalewanie dużą ilością pakietów (flooding) oraz wysycanie zasobów.

Atak flooding

Polega na wykorzystaniu faktu, że aplikacje mają za zadanie przyjmować zapytania HTTP i odpowiadać na nie. Po to właśnie zostały stworzone czyż nie? Robią więc to, niezależnie od szybkości, z jaką zapytania napływają. Nawet jeśli dzieje się to w tempie blokującym dostępne zasoby w ciągu minut czy sekund – aplikacja wciąż stara się odpowiedzieć. Każda aplikacja (urządzenie, usługa, system itp.) ma określony limit połączeń TCP, które może nawiązać. Po przekroczeniu tej liczby jest to po prostu niemożliwe, a dalsze zapytania są ignorowane. Użytkownicy spotykają się z taką sytuacją przy okazji napotkania komunikatu „Próba połączenia…”, ponieważ wtedy ich przeglądarka lub aplikacja oczekuje określoną ilość czasu, by następnie przeprosić za brak możliwości połączenia.

Czytaj całość artykułu tutaj: http://www.magazynit.pl/it-solutions/ataki-ktorych-nie-zatrzymasz-na-poziomie-aplikacji.html


Nadesłał:

openmediagroup

Wasze komentarze (0):


Twój podpis:
System komentarzy dostarcza serwis eGadki.pl