Kontakt
Wróć do bloga
20 marca 20266 min czytania

Cyberbezpieczeństwo w firmie na poziomie stron WWW – czy sprawdziłeś topową listę OWASP u swojego twórcy?

Jeśli myślisz, że „mojej małej firmy produkcyjnej” nikt nie zaatakuje na stronie, prawdopodobnie jutro Twoją witryną ktoś wykopie Bitcoiny lub powrzuca banery sprzedające fałszywe obuwie w języku kantońskim.

BezpieczeństwoHostingOWASPE-commerce

Skala naiwności to "To małoskalowy problem" Przedsiębiorcy często nie instalują u siebie profesjonalnych zapor w chmurach bo słynne "mnie to nie dotyczy, prowadzimy tylko pensjonat dla rodzin i nie jesteśmy bankiem". Tymczasem 90% incydentów internetowych to nie praca elitarnych hakerów rzucających hasłem uderzającym w Ciebie dla zysku czy okupów milionowych, podłączonym w piwnicy - ale zautomatyzowane skrypty (boty) tzw. "zombie", które w sekundzie "oblężają" tysiące stron naraz, poszukując najmniejszej dziury w WordPressie, niezaktualizowanej wtyczce kalendarza lub luki formularza na stronach kontaktowych. Więc co po tym zostanie zrobione na Twojej witrynie? Ukradną Ci pozycjonowanie w Google zasilając linkami azjatyckie sklepy z lekami, albo udostępnią portal B2B jako bazę serwowaną wirusami "ransomware" niszcząc reputację wobec Google - wyszukiwarka zamknie czerwoną żelazną kłodę z napisem „Witryna niebezpieczna!”.

Co to jest standard OWASP Top 10? W agencjach webowych dbanie o szyfry to praca podstawowa, chroniąca biznesy warte nie dziesiątki, ale setki milionów. Posługujemy się często tzw. fundacją Open Web Application Security Project (OWASP) produkującą listę najniebezpieczniejszych zjawisk i podatności dekady. Oto 3 najważniejsze przykłady:

###

  1. Wstrzykiwanie w zapytania (Broken Access Control & Injection - SQLi) Wyobraź sobie, że w polu wyszukiwania na swoim sklepie ktoś nie wpisuje "Szafa Biała z Oświetleniem", a wyrafinowany kod bazy np. ‘; DROP TABLE users; --. Na tanich instalacjach "chałupniczych" stron bazodanowych powoduje to posłuszną egzekucję tej komendy przez silnik, który natychmiast wyczyści na dobre bazę setek tysięcy użytkowników w mgnieniu oka. Architektury programistyczne stosowane u nas uodparniają tzw. parametryzacją i encjowaniem każde z wywołań.

###

  1. Ataki DDoS i Brute-Force atakujące panele Nierozliczony bot uderza w okno logowania admina tysiące razy zgadując "admin" z każdym wariantem słownikowym haseł w sekundzie. Poza ukryciem ścieżek dostępu lub podpięciem weryfikacji Multi-Factor na hasła e-mail sms, wdrażamy WAF-y chmurowe (np. połączone z siecią Cloudflare), które już na granicy oceanu serwerów wprost z serwinii np. w Nowym Yorku rozpozna napastnika i obciąży bota tak absurdalnymi zapytaniami na teście CAPTCHA że nie dopuści go ani milimetr bliżej serwera LarteCode umieszczonego w Warszawie! Otwórz oczy i połącz zysk firmy wprost obklejając witryny tarczą paktową z Software House-ami! LarteCode monitoruje pancerze zabezpieczając stabilny handel online dla tysięcy systemów od jutra.