Les failles des processus métier exposées à des risques de sécurité

L'exécution d'un site Web sécurisé ne se limite pas à la protection contre les scripts inter-sites et les attaques par injection SQL. Les failles dans les processus métier qui sous-tendent les sites Web peuvent également présenter de graves risques de sécurité, a déclaré jeudi le responsable technique d'une société de sécurité Web.

Des failles dans les processus ou la logique métier des sites Web peuvent s'avérer très rentables pour les pirates. », a déclaré Jeremiah Grossman, CTO de WhiteHat Security, au Source Boston Security Showcase.

« Ces problèmes sont courants si vous savez ce qu'il faut rechercher », a-t-il déclaré.

[Plus d'informations: Comment supprimer les logiciels malveillants de votre PC Windows]

Il a fourni plusieurs exemples de ces failles, notamment celles trouvées dans les conceptions de sites Web, les systèmes d'authentification Captcha et les privilèges d'utilisateur. Les gens qui en profitent sont souvent tout simplement interdits d'utiliser un service, même si parfois ils sont poursuivis.

En 2007, une femme a été accusée d'escroquer QVC de 412 000 $ US en exploitant une faille dans sa logique commerciale. Elle a passé commande de 1 800 articles au réseau de téléachat et a ensuite annulé les commandes sur son site Web. Elle a reçu le crédit pour le retour de la marchandise, mais les articles lui ont été envoyés de toute façon et elle les a vendus sur eBay, a déclaré le ministère de la Justice. QVC a pris conscience du problème lorsque les utilisateurs d'eBay l'ont contacté pour recevoir des articles encore dans son emballage.

Les fonctionnalités de réinitialisation du mot de passe peuvent conduire à un accès non autorisé au compte si elles posent des questions évidentes et que les pirates ont des informations mineures sur leurs victimes. Grossman a offert un exemple impliquant l'ancien fournisseur de services mobiles Sprint. Pour réinitialiser ses mots de passe, a-t-il dit, un pirate devait seulement connaître le numéro de téléphone mobile d'une personne et un élément d'information de base, comme l'endroit où ils habitaient ou la voiture qu'ils conduisaient. Cela aurait pu permettre à un pirate informatique de commander de nouveaux téléphones au nom de la victime ou d'installer de nouveaux services sur son téléphone.

Les coupons électroniques posent un risque aux commerçants si les numéros de coupons sont proches les uns des autres. Un détaillant a vu certains de ses articles à prix élevé se vendre pour quelques dollars après qu'un hacker ait écrit un script pour découvrir des numéros de coupon qui ne différaient que par quelques chiffres, a déclaré Grossman. Le détaillant a découvert le problème lorsque son système a découvert une abondance de commandes traitées pendant la nuit alors que le script du pirate courait.

Les pirates peuvent persuader d'autres internautes de résoudre les tests Captcha en les attirant vers des sites Web avec la promesse de musique ou contenu pour adultes. Les captchas nécessitent qu'une personne déchiffre une chaîne de caractères en désordre pour s'inscrire à des services tels qu'un compte de messagerie Web. Les internautes résolvent les Captchas, qui sont envoyés via un serveur proxy au pirate, qui les utilise ensuite pour s'inscrire à plusieurs comptes de messagerie pour envoyer du spam ou toute autre activité.

"Tant que vous avez suffisamment d'utilisateurs à venir à votre site Web, vous avez résolu le Captcha ", a déclaré Grossman. "Les méchants veulent vaincre ces Captchas afin qu'ils puissent nous spammer."

Une autre faille est d'accorder aux utilisateurs l'accès à toutes les parties d'un site Web lorsqu'ils ont un identifiant ou un mot de passe pour un service particulier. Par exemple, les employés d'une entreprise estonienne se sont inscrits au service de communiqués de presse de Business Wire en 2004. Ils ont compris que les URL sur le site contenaient parfois des informations sur les communiqués de presse qui n'avaient pas encore été rendus publics. Grâce à un programme de recherche d'URL, les employés de l'entreprise ont pu découvrir des informations commerciales et financières sensibles. Après avoir acheté et vendu des actions sur la base de ces informations, les employés ont gagné 7,8 millions de dollars, mais ils ont également été accusés de fraude par les régulateurs américains.

Il a probablement été le cas de nombreux cas semblables qui n'ont jamais été révélés. jamais attrapé.

La sécurité Web va au-delà de l'assurance qualité et de la conception adéquate d'applications Web pour inclure la manière dont les services sont configurés pour fonctionner, a-t-il déclaré.