Yorum bölümünüz ne kadar güvenli? Bir ürün sayfasındaki görünüşte masum bir ‘teşekkür ederim’ yorumunun kötü niyetli bir güvenlik açığını nasıl gizlediğini ve sağlam güvenlik önlemlerinin gerekliliğinin altını çizdiğini keşfedin. Gerçek hayattan örnek olay incelemesinin tamamını okuyun Burada.
Bir ‘Teşekkür ederim’ ne zaman ‘Teşekkür ederim’ değildir? Birisinin bir ürün sayfasının yorumlar bölümüne gönderdiği ‘Teşekkür ederim’ görselinin içine gizlenmiş sinsi bir kod parçası olduğunda! Bu özel kod parçasının içinde gizlenen suç sırrı, bilgisayar korsanlarının güvenlik kontrollerini aşmasına ve çevrimiçi alışveriş yapanların kişisel kimlik bilgilerini çalmasına olanak sağlamak için tasarlandı; bu da hem kendileri hem de şirket için büyük sorun anlamına gelebilirdi.
Söz konusu sayfa küresel bir perakendeciye ait. Kullanıcı toplulukları genellikle meraklı arkadaşlardan gelen tarafsız tavsiyeler için harika bir kaynaktır; bir Nikon fotoğraf makinesi sahibinin bu toplulukta paylaşım yapmasının nedeni de budur. İdeal 50 mm lensi arıyorlardı ve öneri istediler. Yanıt verme zahmetine katlanacak herkese şimdiden teşekkür ettiler ve hatta “Teşekkür ederim” yazan küçük bir resim bile bıraktılar ve çıplak gözle bakıldığında güzel görünüyordu.
Yorum ve görsel üç yıl boyunca sitede kaldı(!), ancak şirket, lider bir web güvenliği firması olan Reflectiz’in sürekli web tehdit yönetimi çözümünü kullanmaya başladığında, rutin bir izleme sırasında bu masum görünümlü grafikte rahatsız edici bir şeyler tespit etti. tarayın. Bu makalede, neler olduğuna dair geniş bir genel bakış sunuyoruz ancak daha derin bir açıklamayı tercih ederseniz ve kendi yorum sayfalarınızı nasıl koruyacağınızla ilgili daha fazla ayrıntıyı indirebilirsiniz. tam, derinlemesine örnek olay incelemesi burada.
Değiştirilmiş Görüntüler
Web ile ilgili en iyi şeylerden biri, görüntüleri kolayca paylaşabilmenizdir, ancak her gün yüzlercesine bakan bir insan olarak, her birinin tıpkı diğer dijital varlıklar gibi koddan oluştuğunu unutmak kolaydır. bir web sayfası. Durum böyle olunca, kötü niyetli aktörler sıklıkla kendi kodunu gizle bu da bizi steganografi uygulamasına getiriyor. Bu, bir bilgi parçasını diğerinin içine saklamak için kullanılan terimdir. Mesajları anlaşılamayacak şekilde anlamsız hale getiren kriptografi ile aynı şey değildir. Bunun yerine steganografi, verileri görünür bir şekilde, bu durumda, bir görüntünün içinde gizler.
Bir Pikselin Anatomisi
Bilgisayar monitörlerinin görüntüleri piksel adı verilen noktalardan oluşan bir mozaik kullanarak görüntülediğini ve her pikselin kırmızı, yeşil ve mavi ışık karışımı yayabildiğini biliyor olabilirsiniz. Bu RGB piksellerinden birindeki her rengin gücü 0 ile 255 arasında bir değerle belirlenir, yani 255,0,0 bize kırmızıyı, 0,255,0 bize yeşili verir vb.
255,0,0 ekranın görüntüleyebileceği en güçlü kırmızıdır ve 254,0,0 biraz daha az güçlü olsa da insan gözüne tamamen aynı görünecektir. Kötü niyetli aktörler, seçilen piksellerin değerlerinde çok sayıda bu küçük değişiklik yaparak kodu göz önünde gizleyebilir. Bunlardan yeterince değiştirerek, bir bilgisayarın kod olarak okuyabileceği bir değerler dizisi oluşturabilirler ve fotoğraf perakendecisinin yorumlar bölümünde yayınlanan örnekte, değiştirilen görüntüde gizli talimatlar ve güvenliği ihlal edilmiş bir alanın adresi yer alıyordu. Bunu bulmak sürpriz oldu JavaScript sayfadaki gizli bilgileri onunla iletişim kurmak için kullanıyordu.
Sonuçlar
Bir e-ticaret sitesi işleten herkes için en büyük sorun, kötü niyetli aktörlerin her zaman fırsat kollamalarıdır. müşteri kişisel bilgilerini çalmak ve ödeme kartı ayrıntılarını değiştirmek ve görüntü dosyalarını değiştirmek, kullandıkları birçok olası yöntemden yalnızca biridir. Giderek artan sayıda bölgedeki yasa koyucular ve ödeme kartı endüstrisi gibi alanlardaki kural koyucular, sağlayıcılara sıkı güvenlik gereksinimleri uygulayan ve başarısız olmaları durumunda büyük para cezaları uygulayan ayrıntılı düzenleyici çerçeveler uygulayarak yanıt verdiler.
GDPR, Avrupa Birliği müşterilerine satış yapan herkesin onun geniş ve ayrıntılı çerçevesini takip etmesini gerektirir. Bir e-ticaret perakendecisi steganografiye veya müşteri bilgilerini tehlikeye atan başka türde bir saldırıya yenik düştüğünde, milyonlarca dolarlık para cezalarına maruz kalabilir, toplu davaları tetikleyebilir ve itibarın zarar görmesine yol açacak kötü tanıtım yaratabilir. Bu nedenle web sitenizi bu tür saldırılara karşı nasıl koruyacağınızı anlamak çok önemlidir. vaka çalışmasının tamamı bunu açıklıyor.
Sürekli Koruma
Vaka çalışması Bu tehdidin nasıl ortaya çıkarıldığı ve kontrol altına alındığı ayrıntılı olarak anlatılıyor ancak kısa açıklama, platformun izleme teknolojisinin bir web bileşeninde şüpheli etkinlik tespit ettiği ve ardından belirli ayrıntılara kapsamlı tehdit veritabanıyla çapraz referans verdiği yönünde.
Sistem, herhangi bir üçüncü taraf web bileşenini rutin olarak tanımlar ve engeller. kullanıcı etkinliğini izinleri olmadan izleme. Hangi üçüncü taraf bileşenlerin kullanıcıların coğrafi konum, kamera ve mikrofon izinlerini rızası olmadan ele geçirdiğini tespit eder ve hassas bilgilere erişebilecek tüm web bileşenlerini haritalandırır.
Bu durumda Reflectiz’deki insan güvenliği uzmanları, şirketi bu güvenlik açığı konusunda uyardı, güvenlik personeline açık hafifletme adımları verdi ve saldırganların onu oraya nasıl yerleştirmeyi başardığını anlamak için şüpheli kodu araştırdı. Bulgularını okuyabilirsiniz burada, vaka çalışmasının tamamındave aynı şeyin kendi yorum sayfalarınızın başına gelmesini önlemek için hangi güvenlik adımlarına öncelik vermeniz gerektiğini öğrenin.