Vectores de ataque para un sitio web puramente estático (HTML y CSS)

Navega tus respuestas
16

Lo siento si esta es una pregunta demasiado trivial, pero una vez me dijeron que solo un tonto está seguro de algo: como no estoy seguro acerca de esta pregunta, estoy dispuesto a arriesgar mi cuello al preguntar de todos modos, todo en el nombre de aprender y mantener mis cosas seguras.

Aquí va; información de fondo:

Quiero crear un sitio web que no necesite ninguna funcionalidad sofisticada. No hay formularios de inicio de sesión y está escrito únicamente en HTML y CSS. De hecho, ni siquiera hay campos de entrada; solo un tipo de cosa "Quiénes somos", "Qué hacemos" y cómo "contactarnos".

Pregunta:

¿Debería preocuparme que pueda haber alguna forma de explotar este sitio de alguna manera?

    
pregunta Lex 05.02.2013 - 18:00
fuente

2 respuestas

13

Veamos la pila de tecnología de un sitio web dinámico:

  • Su código, en el idioma que elija, por ejemplo, PHP o ASP.NET
  • El motor de secuencias de comandos, por ejemplo, Motor PHP o .NET CLR
  • El servidor web, por ejemplo, Apache o IIS
  • Servicios del sistema, por ejemplo, SSH y FTP
  • El sistema operativo
  • Si estás en un VPS, la tecnología de virtualización que hospeda tu instancia, por ejemplo. VMware.
  • El hardware
  • La infraestructura de red, por ejemplo, conmutadores, proveedor de DNS, etc.

Ahora compare eso con la pila de tecnología de un sitio web estático:

  • servidor web
  • Servicios del sistema
  • sistema operativo
  • Tecnología de virtualización, si la hay.
  • Hardware
  • infraestructura de red

Por lo tanto, has eliminado las dos capas superiores de la pila de tecnología yendo a la estática. Es cierto que un gran porcentaje de los ataques se centran en el código y el motor de la aplicación web, pero todavía hay muchos vectores de ataque de los que preocuparse.

Desde lo alto de mi cabeza, aquí hay algunos:

  • Contraseñas de servicio (por ejemplo, SSH, FTP, RDP) para el servidor.
  • Vulnerabilidades del servidor web.
  • Vulnerabilidades del servicio.
  • Vulnerabilidades del SO.
  • Contraseñas de software de virtualización (gestión de hosting).
  • Contraseñas de cuentas de proveedor de dominio.
  • Configuración errónea de la infraestructura de red.
respondido por el Polynomial 05.02.2013 - 18:13
fuente
7

Si el contenido del sitio web es muy simple como lo describe, entonces el riesgo de seguridad reside en el servidor web, el sistema operativo, la infraestructura de alojamiento y la seguridad de la contraseña para el alojamiento.

Un servidor web puede configurarse incorrectamente y pueden faltar actualizaciones de seguridad. Otros servicios que se ejecutan en el mismo sistema operativo pueden ser vulnerables a los ataques. La empresa de alojamiento puede ser violada y su sitio modificado. Y, por último, su contraseña para la carga de archivos del sitio web es un punto débil. Existe una gran cantidad de malware que busca las credenciales de FTP y SSH que pueden permitirle cambiar su sitio web, generalmente para atacar al visitante de su sitio web.

    
respondido por el Cristian Dobre 05.02.2013 - 18:07
fuente

Lea otras preguntas en las etiquetas

¿Las partes que confían malintencionadamente pueden abusar de los inicios de sesión de OpenID? ¿Cómo defenderse contra los ataques de homógrafos?