Najtrudniejszym elementem zabezpieczania witryny jest utworzenie treści, które nie będą mogły być wykorzystane przez kody złośliwe lub hakerów. Ci ostatni wiedzą, jak wyszukiwać i wykorzystywać różne usterki stron WWW. Programiści webowi muszą być perfekcjonistami, napastnikom wystarczy wytrwałość.

Słabości oprogramowania serwera WWW

Chociaż liczba luk bezpieczeństwa w oprogramowaniu serwera WWW powoli spada, to nadal sporo błędów można jeszcze znaleźć w dwóch najpopularniejszych serwerach webowych: IIS i Apache. Ponadto, wielu administratorów witryn instaluje serwery WWW, ale nie troszczy się już o łatki bezpieczeństwa - ten fakt najczęściej wykorzystują napastnicy.

Podatność języków programowania

Wiele popularnych języków programowania serwerów WWW można łatwo wykorzystać do ataków, a niektóre są tak stare, że nie powinny już być używane.

Popularny język skryptowy PHP nie był tworzony z myślą o bezpieczeństwie - tę sferę pozostawiono w gestii programisty. Podejmowano potem wysiłki dodania odpowiednich rozszerzeń dotyczących bezpieczeństwa, ale większość programistów z nich nie korzysta.

Niektóre najpopularniejsze języki WWW są po prostu "przeterminowane". Java jest często uaktualniana pod kątem usuwania znanych luk, ale większość witryn korzysta z wersji SDK sprzed kilku lat zamiast bieżącej. Microsoft od dawna ostrzega użytkowników, aby przechodzili ze starszego kodu ASP na jeden z nowszych języków, takich jak ASP.Net, a mimo tego nadal setki tysięcy witryn korzystają z dawniejszych wersji.

Aplikacje serwerowe z lukami

Na przeciętnym serwerze WWW - oprócz oprogramowania serwerowego - pracuje wiele aplikacji. Mogą to być: oprogramowanie zwiększające funkcjonalność i uatrakcyjniające treść, software do backupu, oprogramowanie służące do śledzenia użytkownika i różne inne narzędzia. Jak każde oprogramowanie, także one wprowadzają nowe luki bezpieczeństwa. Na przykład zupełnie niedawno okazało się, że hakerzy wstrzykują złośliwy kod do serwisów pracujących pod WordPressem 3.2.1 (zaznaczmy, wersją nieaktualną - najnowsza ma numer 3.3.1). Luka w oprogramowaniu Java powoduje pobranie przez komputery ofiar rootkita TDSS.

Cyberprzestępcy często podsuwają programistom webowym darmowe oprogramowanie do pobierania. Takie programy mogą być później wykorzystywane przez hakerów w charakterze tzw. tylnych furtek.

SQL Injection

SQL Injection pozostaje jednym z najpopularniejszych ataków. Wykorzystuje brak kontroli danych wpisywanych do formularza na stronie WWW. Do pola formularza jest wprowadzane złośliwe wyrażenie SQL, które może spowodować wykonanie nieautoryzowanych operacji w bazie danych. Na pozór zapobieganie atakom SQL Injection nie wygląda na trudne. Filtrowanie wprowadzanych danych do formularzy może sprowadzać się do prostej zamiany apostrofu na podwójny cudzysłów (w zapytaniach SQL łańcuchy zamyka się znakami apostrofu). Chociaż skanery wyszukujące słabości pod kątem SQL Injection są dostępne za darmo, to nadal każdego roku setki tysiące witryn jest narażonych na atak SQL Injection. Ataki tego typu dotyczą różnych platform webowych - zarówno opartych na systemach Windows, jak i Linux.

SQL Injection staje się naprawdę trudnym do obrony atakiem, kiedy wadliwy kod jest zawarty w wykorzystywanym w serwisie oprogramowaniu komercyjnym. Dlatego też koniecznie trzeba sprawdzać bezpieczeństwo kupowanego oprogramowania i aktualizować je, a nie tylko dbać o bezpieczeństwo własnego kodu.