9. Netinkamas transporto kanalo apsaugojimas
Tinkamai nesirūpinant transporto kanalo saugumu, Web aplikacijų siunčiamas duomenų srautas gali būti lengvai perimtas. Su šiais duomenimis keliaujanti konfidenciali informacija, tokia kaip, sesijos prieigos raktai, gali būti išnaudojama įsilaužėlių, siekiant nesankcionuotos prieigos prie sistemos.
2010 m. rugpjūčio mėn. daug populiarumo susilaukė naršykles Firefox plėtinys Firesheep[18]. Ši programa leisdavo lengvai perimti populiarių socialinių tinklalapių, tokių kaip Facebook ar Twitter, vartotojų sesijas. Naudodamas paketų „šniukštinėtoją“ (sniffer) ir gaudydamas duomenis tinkamai neapsaugotame bevieliame tinkle, Firesheep perima nešifruotus Facebook sausainėlius ir suteikia progą vieno mygtuko paspaudimu pradėti naudotis pagrobtomis vartotojų sesijomis.
Paveikslėlis paimtas iš oficialaus Firesheep tinklapio: http://codebutler.com/firesheep/
Ši problema buvo žinoma jau seniai, Firesheep tik dar labiau paviešino galimas jos pasėkmes platesnei publikai.
OWASP rekomenduoja užtikrinti, kad:
- SSL/TLS šifravimas yra naudojamas visam autentifikacijos srautui.
- SSL/TLS yra yra naudojamas visiems privatiems resursams ir servisams. Taip apsaugojami minėti sesijos prieigų raktai ir vartotojų konfidenciali informacija.
- Palaikomi tik stiprūs, patikrinti šifravimo algoritmai.
- Visi sesijų sausainėliai naudojami kartu su ‘secure’ vėliavėle. Tokiu būdu naršyklė niekada jų nesiunčia atviru tekstu (nešifruodama).
- Serverio sertifikatas yra legalus ir teisingai sukonfigūruotas. Neteisingi sertifikatai gali pripratinti vartotojus prie jų sukeliamų įspėjimų. Tuo dažnai naudojasi „sukčiautojų“ puslapių (phishing) kūrėjai.
- DB ir pan. prisijungimai taip pat naudoja SSL/TLS ar kitus rekomenduotinus šifravimo metodus.
Paketų šniukštinėjimo atakoms kelią užkirsti gali ir pats vartotojas naudodamas saugius kanalus, pvz. nešifruotame bevieliame tinkle gali būti naudojama VPN technologija, užtikrinanti duomenų perdavimo saugumą tarp VPN serverio ir vartotojo. Daugiau informacijos šia tema galite rasti Lrytas.lt straipsnyje[30].