Prowadząc biznes trudno obecnie obejść się bez ośrodka webowego - staje się on podstawową formą komunikacji firmy z klientami i partnerami. Potencjalne korzyści, jakie niesie Internet, w głównej mierze przyczyniają się do szybkiego wzrostu liczby nowych ośrodków webowych i e-commerce.

Rozwojowi temu towarzyszą nowe zagrożenia. Podstawowym są hakerzy, używający coraz to nowszych technik włamań w celu kradzieży danych przechowywanych na serwerach webowych lub wykorzystania informacji tam zawartych do osiągnięcia korzyści materialnych.

Problemem każdego publicznego ośrodka webowego jest zachęcenie użytkowników do jego odwiedzania i jednoczesne wyeliminowanie ruchu niepożądanego czy wręcz szkodliwego, a także zapewnienie niezbędnego poziomu ochrony, bez tworzenia ograniczeń w wydajności ośrodka i jego skalowalności. Zakłócenia w świadczeniu usług powodowane przez ataki typu DoS mogą stanowić poważne zagrożenie egzystencji przedsiębiorstw opierających swoją działalność na technice webowej (portale, vortale czy handel elektroniczny). Firmy decydujące się na wykorzystanie Internetu w operacjach biznesowych muszą być przygotowane na walkę z zagrożeniami, jakie niesie włączenie ośrodka webowego do sieci przedsiębiorstwa. Do ochrony stosuje się zapory ogniowe i systemy wykrywania wtargnięć (IDS). Tworzą one pierwsze linie obrony i są podstawowym krokiem podejmowanym do ochrony ośrodka czy serwera webowego. Jednak rozwiązania te nie są wystarczające w obliczu nowych technik hakerów.

Podstawowe rodzaje ataków

Do penetrowania ośrodków webowych używane są różne techniki, które można podzielić na trzy grupy: ataki na serwery webowe, na aplikacje webowe i pośrednie.

Ataki na serwery webowe

Technika ta wykorzystuje zlecenia HTTP wysyłane do serwera webowego. Zapora ogniowa, przechwytując ruch, zazwyczaj koncentruje się na analizie parametrów komunikacyjnych tego ruchu. Kontroluje port przeznaczenia, adresy IP źródła i przeznaczenia oraz temu podobne atrybuty, najczęściej nie weryfikuje jednak tej części pakietu, która zawiera dane (kontrola rodzaju zlecenia). Umożliwia to podsyłanie zleceń wyglądających na pozornie legalne z punktu widzenia zapory ogniowej. Zlecenie takie, dostarczone do serwera webowego, zostanie także normalnie obsłużone. Może to być jednak zlecenie wykorzystujące słabe punkty serwera do uzyskania celów hakera.

Jednym z takich celów jest często uruchomienie własnego kodu na serwerze. Jeżeli napastnik uzyska możliwość uruchomienia swojego kodu z uprzywilejowanymi uprawnieniami dostępu, otwiera mu to drogę do przejęcia kontroli nad maszyną. Szacuje się, że około 15 proc. ataków umożliwia napastnikowi wykonanie własnego kodu na serwerze.

Duża liczba ataków dotyczy również baz danych usytuowanych poza serwerem webowym. Wykorzystując luki w serwerze IIS, można uruchomić komendy SQL i uzyskać dostęp do bazy danych lub nawet uprawnienia uprzywilejowane.

Ataki na aplikacje webowe

Aplikacje webowe są używane przez wiele ośrodków webowych do generowania stron webowych w oparciu o wprowadzane dane i zawartość baz danych. Większość serwerów webowych zapewnia interfejs do komunikacji z aplikacją webową. Interfejs ten tworzy połączenia pomiędzy zleceniem HTTP i aplikacją. Określa on aplikację, która powinna być wywołana, parametry i dane przekazywane do aplikacji oraz mechanizm zapewniający dynamiczne generowanie stron przez serwer webowy. Jednym z takich interfejsów jest szeroko stosowany CGI (Common Gateway Interface).

Ataki na aplikacje webowe przechodzą przez zapory ogniowe, ponieważ port 80 (HTTP) czy 443 dla SSL (Security Sockets Layer) muszą być otwarte, aby aplikacje te mogły funkcjonować. Ataki te obejmują takie kategorie, jak DoS - blokowanie usług, zmiana zawartości stron webowych, przechwytywanie istotnych informacji korporacyjnych lub o użytkownikach - na przykład numery kart kredytowych.