¿Qué es una mentalidad y un método de enfoque típicos? ¿Qué es probable que intenten primero? ¿En qué momento se da por vencido un novato frente a un experto? ¿En qué se diferenciaría un ataque automatizado de uno manual?
¿Qué es una mentalidad y un método de enfoque típicos? ¿Qué es probable que intenten primero? ¿En qué momento se da por vencido un novato frente a un experto? ¿En qué se diferenciaría un ataque automatizado de uno manual?
Desde mi experiencia, la mayoría de los atacantes eligen sitios web al azar. Ellos descargaron alguna "herramienta hacker", ingresaron un rango de IP y lo iniciaron. Por lo general, un conjunto de herramientas de este tipo explota un error específico en un software (como Wordpress, Joomla, etc.). Si no ejecuta este tipo de software o ya no es vulnerable, continúan con el siguiente sitio.
Sin embargo, si su sitio es el objetivo de algún ataque dirigido, el atacante explorará su sistema. Puede escanear los puertos abiertos para ver si hay algún software vulnerable o intentará averiguar qué tipo de software de sitio web ejecuta. Después de que lo encuentre, buscará algún exploit para su sistema y lo usará. Por lo general, primero se prueba el más fácil.
Un novato probará algunos de sus programas estándar mientras que un experto planificará su ataque. Intenta recopilar toda la información que pueda obtener. Cada uno de los datos puede ayudar a alcanzar su objetivo.
De la mayoría de mis clientes (generalmente compañías de Fortune 100) puedo decir que la mayoría de los atacantes que notan (excluye la amplia gama de escaneos y ataques de script para niños lanzados en el perímetro y DMZ) tienen mucha experiencia, tienen muchos recursos y siguen más o menos la misma metodología que los sombreros blancos.
Un ejemplo:
Por supuesto, esto es solo un ejemplo de muy alto nivel, pero da una idea.
Ya sea a través de ataques oportunistas que a veces se describen como hackers de scriptkiddie u otros, en realidad no importa, de hecho, he encontrado ese término para mí más como un intento de difamación en lugar de una descripción adecuada del atacante.
Los atacantes, sin importar el "sombrero" de color que propongan apoyar ... verán el enfoque fácil primero antes de profundizar. ¿Por qué un atacante se molestaría tanto como algunas de las respuestas anteriores, si el servidor web alojara 100 sitios web que fueran una mezcla de Joomla, Wordpress y versiones obsoletas de osCommerce?
En ellos, sería un tesoro de puntos de entrada para cargar códigos de shell / administradores de archivos, e incluso escalar su camino hacia el control completo del servidor web.
De hecho, el método más popular en estos días es la explotación masiva en varios niveles, donde los servidores permanentes se dedican a rastrear servicios de búsqueda como Google, encontrar sitios vulnerables, cargar código de shell y agregar código de puerta trasera, y luego registrar los sitios para su posterior explotación.
Estos 'ataques automáticos' no difieren tanto de la 'firma' de los ataques individuales, aparte del hecho de que el sitio víctima generalmente se usa más para propagar virus de navegador o para enviar ataques a otros sitios web vulnerables, en lugar de Descomposición de hackers estereotipados.
Los principiantes ... se convierten en expertos con el tiempo si persisten en aprender sobre seguridad web.
Muchos atacantes individuales comienzan con los métodos más sencillos, es decir, las vulnerabilidades conocidas del script web, o los métodos de parches no explotados del servidor, ya que estos a menudo serán las formas más rápidas y fáciles de obtener acceso a un servidor web y, en general, la mayoría de los atacantes no tendrán que ir mucho. más allá de esto, especialmente en la mayoría de los entornos de servidores web compartidos.
Debido a esto, hay una tendencia para aquellos que han sido explotados, al descubrir cómo fueron explotados sus servidores (es decir, ser un error de ellos al no mantener sus cosas al día), para luego apuntar el stick al llamado 'script-kiddie' cuando, de hecho, este tipo de ataque es simplemente el más fácil, por lo tanto, lógicamente, el primer y más utilizado método.
Cuando no hay métodos de entrada fácilmente disponibles, cuanto más tenaces sea el comienzo de gran parte de lo que Rory Aslop describe anteriormente, el enfoque de 'molienda', que requiere más tiempo pero a menudo produce muy pocos puntos de entrada.
Si no es así, algunos, por ejemplo, los de tipo Anónimo, recurrirán a los ataques tipo DDoS hammer para desconectar a los servidores web o, al menos, hacer que resulten heridos (los atacantes impulsados por la política).
Incluso hay algunas razas de atacantes que no creen en la explotación del servidor que no sea el ataque de denegación de servicio, y en el otro lado de esa moneda, hay atacantes que creen que el ataque de denegación de servicio es para el bajo coeficiente intelectual. ...
Al final, realmente no es un problema directo que pueda responderse fácilmente y es un mundo a veces lleno de intolerancia y fundamentalismo, los que realmente deben cuidarse son los tenaces, que originalmente carecen de las habilidades tecnológicas para saque algo, pero la tenacidad, como se dijo, a menudo conduce a la mejora de habilidades.
Lea otras preguntas en las etiquetas web-application attacks webserver attack-prevention