Źródłem słabych punktów w aplikacjach webowych są najczęściej błędy projektowe. Błędnie zaprojektowane skrypty CGI mogą być wykorzystane do wykonywania szkodliwych akcji. Powszechnym problemem aplikacji webowych jest słaba kontrola wprowadzanych danych.

Technika internetowa zmieniła model eksploatacji systemów aplikacyjnych. Aplikacje webowe mogą pracować na czterech różnych maszynach: kliencie, serwerze webowym, aplikacyjnym i baz danych. A ponieważ są one często dostępne dla wszystkich, to stają się miejscem szczególnie podatnym na ataki.

Włamanie do takiej sieci staje się łatwiejsze, ponieważ serwery webowe muszą zapewniać różne sposoby przekazywania zleceń do serwera aplikacji oraz wysyłać w odpowiedzi na zlecenia zmodyfikowane lub nowe strony webowe do użytkownika końcowego.

Generalnie ataki na aplikacje webowe różnią się od innych tym, że są trudne do wykrycia i mogą pochodzić od dowolnego użytkownika włączającego się do sieci, nawet tego uwierzytelnionego.

Ataki pośrednie

Oprócz popularnego portu 80 (HTTP) istnieje wiele dróg alternatywnych, którymi można dostać się do serwera webowego. Napastnik może rozpocząć włamanie skanując kolejne porty TCP/IP i poszukując serwera internetowego nasłuchującego w otwartym porcie.

Może to być na przykład port 21 (FTP). Niektóre serwery FTP zawierają luki, wykorzystanie których może udostępnić hakerowi poufne dane lub informacje umożliwiające włamanie do maszyny i uzyskanie uprawnienia administratora.

Innym, zazwyczaj otwartym portem jest port przypisany DNS (Domain Name Service). Po włamaniu do serwera DNS haker może tak poprzekształcać tablice trasowania, aby poczta wysyłana pod określonymi adresami była dostarczana na jego maszynę.

Jeżeli haker zamierza jedynie zawiesić pracę serwera lub spowolnić jego działanie, to może zastosować atak sieciowy niskiego poziomu. Celem takiego ataku jest oprogramowanie sieciowe systemu operacyjnego - wysyłając, na przykład, identyczne, podzielone na fragmenty pakiety IP pod określonym adresem z określoną częstotliwością, można skutecznie zablokować pracę tego oprogramowania.

Ochrona podstawowa

Zapory ogniowe są używane jako główne narzędzie do ochrony sieci. Oparte są one na zasadach określających, które porty mają być zamknięte w sieci korporacyjnej, a które otwarte. Zapory nie są wystarczającym środkiem obrony serwerów webowych, ponieważ warunkiem niezbędnym funkcjonowania systemu typu e-biznes jest pozostawienie niektórych portów otwartymi na zaporach, co daje hakerom możliwość przedostania się przez nie. Porty te zapewniają hakerom kanał przejścia przez zaporę ogniową i możliwość włamania się do systemu.

Systemy wykrywania wtargnięć - IDS (Intrusion Detection System) - uzupełniają działania zapór ogniowych. Jednak w praktyce potrafią one wykrywać ataki, ale nie zapobiegać im. Głównymi wadami sieciowych IDS są:

• Brak większych możliwości zapobiegania atakom w czasie rzeczywistym. Bardzo często pakiet osiąga swój cel i zostanie przetworzony, zanim zinterpretuje go system IDS; w rezultacie dość powszechnym zjawiskiem są udane ataki identyfikowane post factum przez IDS.

• Systemy wykrywania włamań na ogół nie mogą rozpoznawać ataków jeszcze nie znanych. Tak jak każdy system oparty na sygnaturach (w tym przypadku sygnaturach ataku) mogą obsługiwać jedynie znane zdarzenia, dla których istnieją wzorce w bazie danych systemu IDS.