Cacat Proses Bisnis Terlihat Berpose Risiko Keamanan

Menjalankan situs Web yang aman berarti lebih dari sekadar menjaga terhadap scripting lintas situs dan serangan injeksi SQL. Cacat dalam proses bisnis yang mendasari situs Web juga dapat menimbulkan risiko keamanan yang serius, CTO dari perusahaan keamanan Web mengatakan Kamis.

Cacat dalam proses, atau logika bisnis, untuk situs Web dapat membuktikan sangat menguntungkan bagi peretas, membutuhkan sedikit keterampilan untuk mengeksploitasi dan kadang-kadang secara teknis tidak ilegal untuk memanfaatkan, kata Jeremiah Grossman, CTO dari WhiteHat Security, di Pameran Keamanan Boston Sumber.

"Masalah ini umum jika Anda tahu apa yang harus dicari," katanya.

[Bacaan lebih lanjut: Cara menghapus malware dari PC Windows Anda]

Dia menawarkan beberapa contoh kelemahan ini, termasuk yang ditemukan dalam desain situs Web, sistem otentikasi Captcha dan hak pengguna. Orang-orang yang mengambil keuntungan dari mereka sering hanya dilarang menggunakan layanan, meskipun kadang-kadang mereka dituntut.

Pada tahun 2007 seorang wanita dituduh menipu QVC dari US $ 412.000 dengan mengeksploitasi kelemahan dalam logika bisnisnya. Dia menempatkan pesanan untuk 1.800 item dengan jaringan belanja di rumah dan kemudian membatalkan pesanan di situs Web-nya. Dia menerima kredit karena mengembalikan barang dagangannya, tetapi barang-barang itu dikirim kepadanya dan dia menjualnya di eBay, kata Departemen Kehakiman. QVC menjadi sadar akan masalah ini ketika pengguna eBay menghubunginya tentang menerima barang-barang yang masih dalam kemasannya. Wanita itu akhirnya mengaku bersalah atas penipuan kawat.

Fitur pengaturan ulang kata sandi dapat mengarah ke akses akun yang tidak sah jika mereka mengajukan pertanyaan yang jelas dan peretas memiliki potongan kecil informasi tentang korban mereka. Grossman menawarkan contoh yang melibatkan mantan penyedia layanan seluler Sprint. Untuk mereset kata sandinya, katanya, seorang hacker hanya perlu mengetahui nomor ponsel seseorang dan informasi dasar seperti di mana mereka tinggal atau mobil yang mereka kendarai. Ini dapat memungkinkan peretas untuk memesan ponsel baru dengan nama korban atau memasang layanan baru di ponsel mereka.

E-kupon menimbulkan risiko bagi pedagang jika nomor kupon berdekatan satu sama lain secara berurutan. Satu pengecer melihat beberapa barang berharga mahal yang dijual dengan harga beberapa dolar setelah peretas menulis skrip untuk mengungkap angka kupon yang berbeda hanya dengan beberapa digit, kata Grossman. Pengecer menemukan masalah ketika log sistemnya menemukan banyak pesanan yang diproses di malam hari sementara skrip hacker berjalan.

Peretas dapat membujuk peselancar Web lainnya untuk menyelesaikan tes Captcha bagi mereka dengan memikat mereka ke situs Web dengan janji gratis konten musik atau vulgar. Captcha memerlukan seseorang untuk menguraikan serangkaian karakter campur aduk untuk mendaftar ke layanan seperti akun e-mail Web. Peselancar Web memecahkan Captchas, yang dikirim melalui server proxy ke peretas, yang kemudian menggunakannya untuk mendaftar ke beberapa akun email untuk mengirim spam atau beberapa aktivitas lainnya.

"Selama Anda memiliki cukup banyak pengguna yang datang ke situs Web Anda, Anda memiliki Captcha yang terpecahkan, "kata Grossman. "Orang jahat ingin mengalahkan Captchas ini sehingga mereka dapat mengirim spam kepada kami."

Cacat lainnya adalah memberikan pengguna akses ke semua bagian situs Web ketika mereka memiliki login atau kata sandi untuk layanan tertentu di sana. Misalnya, karyawan di firma Estonia mendaftar untuk layanan press release Business Wire pada tahun 2004. Diperkirakan bahwa URL di situs terkadang berisi informasi tentang rilis berita yang belum dipublikasikan. Menggunakan program yang mencari URL, karyawan di perusahaan mampu mengungkap informasi bisnis dan keuangan yang sensitif. Setelah membeli dan menjual saham berdasarkan informasi ini, para karyawan menghasilkan $ 7,8 juta, tetapi juga dipukul dengan tuduhan penipuan oleh regulator AS.

Dia mencatat bahwa ada kemungkinan banyak contoh serupa yang tidak pernah terungkap karena pelakunya adalah tidak pernah tertangkap.

Keamanan web melampaui jaminan kualitas dan mendesain aplikasi Web dengan benar untuk menyertakan bagaimana layanan diatur untuk beroperasi, katanya.