Bezpieczeństwo stron internetowych

Co dla Was oznacza bezpieczeństwo w kontekście internetu i stron WWW?

Dlaczego bezpieczeństwo jest tak ważne?

Definicja bezpieczeństwa stron internetowych: ogół działań mających na celu ochronę strony WWW, jej danych oraz użytkowników przed nieautoryzowanym dostępem, modyfikacją, zniszczeniem lub innymi złośliwymi działaniami. 

Anatomia Zagrożeń

Najczęstsze typy ataków i luk bezpieczeństwa – omówienie na poziomie koncepcyjnym:

Cross-Site Scripting (XSS):

Co to jest? Wstrzyknięcie złośliwego skryptu (najczęściej JavaScript) do treści strony, który jest następnie wykonywany w przeglądarce niczego nieświadomego użytkownika.

Przykład: Komentarz na blogu zawierający <script>alert('XSS!')</script>. Gdy inny użytkownik wyświetli ten komentarz, skrypt się wykona.

Skutki: Kradzież sesji, ciasteczek, przekierowanie na inne strony, modyfikacja treści strony.

SQL Injection (SQLi):

Co to jest? Wstrzyknięcie złośliwego kodu SQL do zapytań wysyłanych do bazy danych przez stronę internetową.

Przykład: W polu logowania, zamiast hasła, atakujący wpisuje ' OR '1'='1. Jeśli zapytanie jest źle skonstruowane, może to pozwolić na zalogowanie bez znajomości hasła.

Skutki: Wyciek danych (np. loginy, hasła, dane klientów), modyfikacja lub usunięcie danych z bazy.

Ataki DDoS (Distributed Denial of Service):

Co to jest? Próba zablokowania działania serwisu internetowego poprzez zalanie go ogromną liczbą zapytań z wielu komputerów (często tzw. botnetów). 

Skutki: Strona staje się niedostępna dla prawdziwych użytkowników.

Malware (Złośliwe oprogramowanie):

Co to jest? Oprogramowanie (wirusy, trojany, ransomware) instalowane na serwerze lub komputerach użytkowników w celu wyrządzenia szkód, kradzieży danych lub przejęcia kontroli.

Skutki: Zainfekowanie strony, kradzież danych, szyfrowanie plików dla okupu.

Phishing (Wyłudzanie informacji):

Co to jest? Podszywanie się pod zaufaną osobę lub instytucję w celu wyłudzenia poufnych informacji (np. danych logowania, numerów kart kredytowych). Często realizowane przez fałszywe strony logowania. 

Skutki: Kradzież tożsamości, utrata środków finansowych.

Słabe lub domyślne hasła:

Problem: Używanie łatwych do odgadnięcia haseł (np. "admin", "password123") lub pozostawianie domyślnych danych logowania do panelu administracyjnego CMS czy serwera.

Skutki: Łatwy dostęp dla atakujących.

Brak aktualizacji oprogramowania:

Problem: Nieaktualizowany system zarządzania treścią (CMS np. WordPress, Joomla), wtyczki, motywy, oprogramowanie serwera (PHP, Apache/Nginx, system operacyjny).

Skutki: Znane luki w starym oprogramowaniu mogą być łatwo wykorzystane przez atakujących.

"Które z tych zagrożeń wydają Wam się najgroźniejsze i dlaczego?"

Podstawowe Zasady Ochrony

Jak się bronić? – Wprowadzenie do dobrych praktyk:

HTTPS (HyperText Transfer Protocol Secure):

Co to jest? Szyfrowana wersja protokołu HTTP. Zapewnia poufność i integralność danych przesyłanych między przeglądarką użytkownika a serwerem. Symbolizowane przez kłódkę 🔒 w pasku adresu.

Dlaczego jest ważne? Chroni przed podsłuchiwaniem i modyfikacją danych w tranzycie (np. haseł, danych formularzy).

Walidacja danych wejściowych (Input Validation):

Koncepcja: Zawsze sprawdzaj i filtruj dane wprowadzane przez użytkownika (w formularzach, parametrach URL itp.) zarówno po stronie klienta (JavaScript), jak i – co ważniejsze – po stronie serwera.

Cel: Zapobieganie XSS, SQLi i innym atakom opartym na wstrzykiwaniu kodu. Nigdy nie ufaj danym od użytkownika!

Używanie przygotowanych instrukcji (Prepared Statements) / Parametryzowanych zapytań SQL:

Koncepcja: Sposób komunikacji z bazą danych, który oddziela strukturę zapytania SQL od danych.

Cel: Skuteczna ochrona przed SQL Injection.

Silne hasła i polityka haseł:

Zalecaj tworzenie długich, skomplikowanych haseł (wielkie i małe litery, cyfry, znaki specjalne).

Menedżery haseł.

Uwierzytelnianie wieloskładnikowe (MFA/2FA): Dodatkowa warstwa zabezpieczeń oprócz hasła (np. kod z aplikacji, SMS, klucz U2F).

Regularne aktualizacje:

• System operacyjny serwera.

• Oprogramowanie serwera WWW (Apache, Nginx).

• Interpreter języka programowania (PHP, Python, Node.js).

• System Zarządzania Treścią (CMS) i jego komponenty (wtyczki, motywy).

• Minimalizacja uprawnień (Principle of Least Privilege):

• Konta użytkowników (FTP, baza danych, panel admina) powinny mieć tylko te uprawnienia, które są absolutnie niezbędne do ich zadań.

Regularne kopie zapasowe (Backup):

• Konieczność tworzenia i przechowywania kopii zapasowych plików strony oraz bazy danych w bezpiecznym miejscu. Umożliwiają odtworzenie serwisu po ataku lub awarii. 

• Ostrożność przy korzystaniu z zewnętrznych bibliotek/skryptów/wtyczek:

• Pobieraj je tylko z zaufanych źródeł.

• Sprawdzaj ich popularność, opinie, datę ostatniej aktualizacji.

Konsekwencje i Studia Przypadków

Co może się stać, gdy strona zostanie zaatakowana? 

Utrata danych klientów (naruszenie RODO/GDPR).

Utrata reputacji i zaufania.

Straty finansowe (bezpośrednie i pośrednie).

Niedostępność serwisu.

Wykorzystanie strony do dalszych ataków (np. rozsyłania spamu, hostowania malware).

Konsekwencje prawne.

• Znajdź i opisz (w 3-5 zdaniach) przykład rzeczywistego ataku na stronę internetową, który miał miejsce w ciągu ostatnich kilku lat. Wskaż, jaki rodzaj luki został prawdopodobnie wykorzystany i jakie były konsekwencje ataku."

• Wyobraź sobie, że tworzysz prostą stronę z formularzem kontaktowym. Wymień co najmniej 3 konkretne działania, które podjąłbyś, aby zabezpieczyć ten formularz przed podstawowymi atakami.

• Znajdź informacje o OWASP (Open Web Application Security Project): Międzynarodowa organizacja non-profit skupiająca się na bezpieczeństwie aplikacji webowych. 

• Przejrzyj strony takie jak Niebezpiecznik.pl, ZaufanaTrzeciaStrona.pl, Sekurak.pl – kopalnia wiedzy o aktualnych zagrożeniach i incydentach.

• Znajdź informacje o dokumentacji popularnych CMS (np. WordPress Codex) często zawiera sekcje poświęcone bezpieczeństwu. - przeanalizuj je