Zabezpieczyć linki

Nawigacja pomiędzy podstronami serwisu odbywa się za pomocą linków. Niektóre aplikacje mogą posiadać ukryte obiekty, do których nie prowadzi żaden link, ale strony lub obiekty istnieją i mogą zostać wywołane. Przykładem może być link, w którym odwołanie odbywa się za pomocą przekazania parametru. Atak polegający na zmianie wartości takiego parametru jest trudny do wychwycenia w strumieniu informacji z logów serwera, ale urządzenie analizujące pracę aplikacji potrafi go wykryć.

Najbezpieczniejszym sposobem blokowania takich ataków jest szyfrowanie odwołań. Jawne linki serwera są przekształcane kryptograficznie tak, by każda modyfikacja była łatwa do wykrycia. Urządzenie potrafi linki podmieniać podczas przeglądania, w locie, dzięki czemu każda modyfikacja obiektu będzie wykryta i zablokowana. Akcją blokady może być przeniesienie na stronę główną serwisu, wygaszenie sesji i zablokowanie wszelkiego już dokonanego uwierzytelnienia.

Airlock - dzięki temu, że analizuje ruch przechodzący - potrafi wykryć także ataki pośredniczące CSRF (Cross Site Request Forgery). Polegają one na użyciu przeglądarki użytkownika do ataku na inną aplikację, do której atakujący nie ma dostępu. W ten sposób można pobrać informację z firmowej aplikacji w Intranecie z zewnątrz przy użyciu odpowiednio spreparowanego skryptu. Tego typu ataki spotyka się dość rzadko, ale w przypadku środowisk o wysokich wymaganiach odnośnie do bezpieczeństwa, należy je uwzględniać.

Kto naprawdę się łączy?

W zastosowaniach wymagających szczególnie wysokiego poziomu bezpieczeństwa warto wdrożyć technologię kontroli stacji roboczej, z której łączy się dany użytkownik. Metoda zwana client fingerprinting zabezpiecza przed przejęciem sesji, sprawdzając informacje wysyłane przez przeglądarkę do serwera, takie jak identyfikacja przeglądarki, informacja o systemie operacyjnym, rozdzielczości ekranu itd. Dla każdego z pól można przypisać odpowiednią wagę, po przekroczeniu zadanych wartości następuje akcja - logowanie, powiadomienie aplikacji, przerwanie połączenia i zablokowanie sesji. Kontrola klienta wykryje większość typowych ataków, gdzie przestępcy nie udaje się symulować wszystkich parametrów komputera ofiary. Jeśli atakujący nie zastosuje tej samej przeglądarki co ofiara, prawdopodobieństwo wykrycia ataku jest bardzo wysokie.