Fel på affärsprocesser

Brister i processerna eller affärslogiken, för webbplatser kan vara mycket lönsamma för hackare, kräver lite kompetens att utnyttja och är ibland tekniskt olaglig att dra nytta av, säger Jeremiah Grossman, CTO of WhiteHat Security, på Source Boston Security Showcase. "Dessa problem är vanliga om du vet vad du ska leta efter," sa han.

[Ytterligare läsning: Så här tar du bort skadlig kod från din Windows-dator]

Han erbjöd flera exempel på dessa brister, inklusive de som finns i webbdesigner, Captcha-autentiseringssystem och användarbehörigheter. Människor som utnyttjar dem är ofta helt enkelt förbjudna att använda en tjänst, även om de ibland åtalas.

År 2007 anklagades en kvinna för att scamming QVC ut ur US $ 412,000 genom att utnyttja en brist i sin affärslogik. Hon beställde 1 800 artiklar med hem-shopping-nätverket och avbröt sedan orderna på sin webbplats. Hon fick kredit för att returnera varorna, men objekten skickades till henne ändå och hon sålde dem på eBay, sade justitieministeriet. QVC blev medveten om frågan när eBay-användare kontaktade det om att ta emot varor som fortfarande finns i förpackningen. Kvinnan skadades i slutändan för att bedrägeri.

Funktioner för lösenordsåterställning kan leda till obehörig kontoåtkomst om de frågar uppenbara frågor och hackare har mindre information om sina offer. Grossman erbjöd ett exempel som involverade tidigare mobilleverantör Sprint. För att återställa sina lösenord sa han att en hacker behövde känna bara en persons mobilnummer och en grundläggande information, t.ex. var de bodde eller bilen de körde. Detta kunde ha tillåtit en hacker att beställa nya telefoner i offrets namn eller installera nya tjänster på sin telefon.

E-kuponger utgör risk för handlare om kupongnumren ligger nära varandra i följd. En återförsäljare såg några av sina dyrbara artiklar som säljer för några dollar efter att hacker skrev ett manuskript för att avslöja kupongnummer som skilde sig med några få siffror, sade Grossman. Återförsäljaren upptäckte problemet när systemloggarna avslöjade ett stort antal beställningar som behandlades på natten medan hackerens skript körde. Hackare kan övertyga andra webbsurfare för att lösa Captcha-tester för dem genom att locka dem till webbplatser med löftet om gratis musik eller vuxeninnehåll. Captchas kräver en person att dechiffrera en rad jumblade tecken för att registrera sig för tjänster som ett webb-e-postkonto. Webb-surfarna löser Captchas, som skickas via proxyservern till hackaren, som sedan använder dem för att registrera sig för flera e-postkonton för att skicka spam eller någon annan aktivitet.

"Så länge du har tillräckligt med användare som kommer till din webbplats, du har Captcha lösas, säger Grossman. "Bad guys vill besegra dessa Captchas så att de kan skräpposta oss."

En annan fel ger användarna tillgång till alla delar av en webbplats när de har inloggning eller lösenord för en viss tjänst där. Till exempel anmälde anställda hos ett estniskt företag för pressmeddelandetjänsten Business Wire 2004. Det visade sig att webbadresser på webbplatsen ibland innehöll information om pressmeddelanden som ännu inte offentliggjorts. Med hjälp av ett program som söker efter webbadresser kunde de anställda på företaget upptäcka känslig affärs- och finansiell information. Efter att ha köpt och säljat lager baserat på denna information gjorde de anställda 7,8 miljoner dollar, men de drabbades också av amerikanska tillsynsmyndigheters bedrägerier.

Han noterade att det sannolikt har funnits många liknande sådana fall som aldrig kom fram till att förövarna var aldrig fångad.

Websäkerhet sträcker sig utöver kvalitetssäkring och korrekt utformning av webbapplikationer för att inkludera hur tjänsterna är inställda att fungera, sa han.