Журнал "Системы Безопасности" № 5‘2023

S E C U R I T Y A N D I T M A N A G E M E N T 121 Безлимитный ввод кода неограниченное количество попыток ввода кода подтверждения также является уязвимостью и встречается довольно часто. злоумышленник сможет перебирать цифры до бесконечности, пока не подберет нужные. Это делается автома- тически и очень быстро, особенно для 4-знач- ных кодов, где это всего 10 тыс. комбинаций. Для автоматического перебора значений и 6-значный код – нетрудная задача. Если зло- умышленнику в руки попала база с номерами клиентов, остальное для него не проблема. Для противодействия подобной угрозе важно ограничивать попытки ввода кода до трех раз, увеличить длину кода с четырех до шести цифр. в качестве общей рекомендации – внедрить мониторинг аномалий. "Бессмертный" код Уязвимость возникает, даже когда количество попыток ввода кода фиксированно, но время его жизни большое или вообще не ограничено. Перебор в этом случае действует наоборот. зло- умышленник фиксирует код подтверждения и пытается подобрать к нему подходящий номер телефона, опять же автоматически. У СмС-кодов небольшая энтропия – небольшое количество вариантов, поэтому такой способ проникновения вполне рабочий. в таком случае необходимо уменьшить жизнь проверочного кода до 30 с. и увеличить длину кода. Чужой товар в корзине Существует технология защиты от так называе- мых атак на подделку запроса. Это происходит с помощью уникальных токенов. Токен – это уникальное значение для каждого пользователя и для каждого товара. Когда пользователь добавляет товар в корзину, вместе с запросом на добавление в корзину он отправляет этот уникальный токен. Если пользователь залогинен в интернет-мага- зине со своего браузера, но продолжает парал- лельно серфить в интернете и заходить на раз- ные сайты, то в какой-то момент он может зайти на сайт злоумышленника. на этом сайте может быть специальный код Java Script, который неза- метно для пользователя отправит в магазин запрос на добавление своего товара в корзину. Для магазина это выглядит так, будто пользова- тель сам добавляет товар. многие люди забы- вают проверить корзину, а кто-то просто невни- мателен, поэтому просто заказывают ненужный товар, а плохие продавцы на этом зарабаты- вают. При наличии токена злоумышленник не знает уникального значения и не может выполнять запрос к системе, а без него запрос злоумыш- ленника воспринимается системой как легитим- ный. атака сложна в реализации и не слишком распространена, однако эта уязвимость присут- ствует. Для защиты нужно внедрить CSRF-токен и уста- новить атрибуты Same-Site, Secure, HTTPOnly для Cookies. Совет неактуален при использова- нии API, где вместо сессии используются токены в заголовках. Токен не может автоматически подхватиться, а сессия может. Преднамеренное разглашение Еще одна не слишком критичная, но очень рас- пространенная уязвимость – передача чувстви- тельных данных в адресной строке. Разработчи- ки могут некорректно реализовать процесс, например, чек-аута (сохранения контактных данных или биллинга), и данные на сервер будут передаваться не в скрытом теле запроса, а в GET-параметрах прямо в адресной строке наверху. администратор, который имеет доступ к жур- налу логирования, может таким образом уви- деть все телефонные номера клиентов, фиО или адреса. При наличии технической уязвимо- сти, которая позволяет читать файлы на серве- ре, злоумышленник может просмотреть журнал логирования и получить конфиденциальные www.secuteck.ru октябрь – ноябрь 2023 СПЕЦПРОЕКТ БЕзОПаСнОСТь и ЦифРОвая ТРанСфОРмаЦия РиТЕйла Подбор пароля СМС-атаки Безлимитный ввод кода "Бессмертный" код как угроза