Веб-серверы и размещённые на них приложения постоянно подвергаются
разнообразным атакам. Для построения эффективной защиты необходимо
понимать природу основных угроз.
DDoS-атаки (Distributed Denial of Service) направлены на исчерпание
ресурсов сервера (канала связи, вычислительной мощности, памяти) с целью
сделать сервис недоступным для легитимных пользователей. Защита от DDoS
требует как сетевых механизмов (фильтрация трафика, rate limiting), так
и использования специализированных облачных сервисов.
Инъекции (SQL-инъекции, XSS, Command Injection) — класс атак, при
которых злоумышленник внедряет в запросы к серверу вредоносный код,
выполняемый затем интерпретатором (базой данных, браузером пользователя,
командной оболочкой). Основной причиной является недостаточная валидация
и санация входных данных. Защита достигается использованием
параметризованных запросов, экранированием спецсимволов и применением
межсайтовых политик.
Уязвимости конфигурации возникают из-за некорректных настроек
сервера: использование стандартных портов и учётных записей, включение
ненужных модулей, открытые права доступа к файлам, наличие тестовых
страниц и т.п. Это позволяет злоумышленнику получить несанкционированный
доступ или собрать информацию о системе.
Атаки на аутентификацию включают подбор паролей (brute force),
перехват сессий, кражу cookies. Для противодействия применяются сложные
пароли, двухфакторная аутентификация, защищённое соединение (HTTPS),
ограничение числа попыток входа.
Несанкционированный доступ может быть следствием уязвимостей в
приложении или ошибок конфигурации сервера, позволяющих обойти механизмы
авторизации.