Vettori di attacco per sito web puramente statico (HTML e CSS)

Naviga le tue risposte
15

Mi dispiace se questa è una domanda troppo banale, ma una volta mi è stato detto che solo un pazzo è sicuro di qualsiasi cosa: poiché non sono sicuro di questa domanda, sono disposto a rischiare il collo chiedendolo comunque, tutto nel nome dell'apprendimento e nel mantenere le mie cose al sicuro.

Ecco qui; informazioni di base:

Voglio costruire un sito web che non abbia bisogno di funzionalità fantasiose. Non ci sono moduli di accesso ed è scritto in HTML e CSS. Infatti non ci sono nemmeno campi di input; solo un "Chi siamo", "Cosa facciamo" e come "contattaci".

Domanda:

Dovrei essere preoccupato che potrebbe esserci qualche modo di sfruttare questo sito in qualche modo?

    
posta Lex 05.02.2013 - 18:00
fonte

2 risposte

13

Diamo un'occhiata allo stack tecnologico di un sito web dinamico:

  • Il tuo codice, in qualsiasi lingua tu abbia scelto, ad es. PHP o ASP.NET
  • Il motore di script, ad es. Motore PHP o CLR .NET
  • Il server web, ad es. Apache o IIS
  • Servizi di sistema, ad es. SSH e FTP
  • Il sistema operativo
  • Se sei su un VPS, la tecnologia di virtualizzazione che ospita la tua istanza, ad es. VMware.
  • L'hardware
  • L'infrastruttura di rete, ad es. switch, provider DNS, ecc.

Ora confrontalo con lo stack tecnologico di un sito web statico:

  • server Web
  • Servizi di sistema
  • Sistema operativo
  • Tecnologia di virtualizzazione, se presente.
  • Hardware
  • Infrastruttura di rete

Quindi, hai rimosso i due strati principali dello stack tecnologico andando per statico. È vero che una grande percentuale di attacchi si concentra sul codice e sul motore dell'applicazione web, ma hai ancora un numero di vettori di attacco di cui preoccuparti.

In cima alla mia testa, eccone alcuni:

  • Password di servizio (ad esempio SSH, FTP, RDP) per il server.
  • Vulnerabilità del server Web.
  • Vulnerabilità del servizio.
  • vulnerabilità del sistema operativo.
  • Password del software di virtualizzazione (gestione hosting)
  • Password dell'account del provider di dominio.
  • Configurazione errata dell'infrastruttura di rete.
risposta data 05.02.2013 - 18:13
fonte
7

Se il contenuto del sito web è molto semplice come descrivi, il rischio per la sicurezza è il server web, il sistema operativo, l'infrastruttura di hosting e la sicurezza della password per l'hosting.

Un server Web può essere configurato in modo improprio e gli aggiornamenti di sicurezza possono mancare. Altri servizi in esecuzione sullo stesso sistema operativo possono essere vulnerabili agli attacchi. La società di hosting può essere violata e il tuo sito modificato. E infine, la tua password per il caricamento del file del sito web è un punto debole. C'è un sacco di malware che cerca credenziali FTP e SSH che possono permettergli di cambiare il tuo sito web, di solito per attaccare il visitatore del tuo sito web.

    
risposta data 05.02.2013 - 18:07
fonte

Leggi altre domande sui tag

Se trovo o creo un exploit 0day, posso essere ritenuto responsabile per il rilascio al pubblico? Come difendersi dagli attacchi omografi?