2022 yilda umumiy kiber hodisalarning 30% dan ortig‘i veb-ilovalar orqali qilingan hujumlardir. Bu o‘tgan yilning shu davriga nisbatan 16 foizga ko‘proq.

Xorijiy ekspertlarning 2020 yildagi ma’lumotlariga ko‘ra, 39 foiz holatlarda veb-ilova buzg‘unchiliklarning markazi bo‘lgan. Hakerlar nozik ma’lumotlarni o‘z ichiga olgan ma’lumot bazalariga kirish uchun dastur kodidagi zaifliklardan foydalanadilar. O‘g‘irlik qilgandan so‘ng, tajovuzkor ularni to‘lov sifatida ishlatadi yoki keyinchalik ijtimoiy muhandislikda foydalanish uchun qora bozorda sotadi.

Veb-ilovalarning ko‘payishi bilan tashkilotlarning hujum maydoni sezilarli darajada kengaydi. Ilovalar shaxsiy va ish qurilmalarida topiladi va ko‘pincha ochiq va fonda ishlaydi va xavfsizlik yangilanishlari har doim ham muntazam bajarilmaydi.

Ko‘pincha veb-ilovalarda foydalanuvchilarning shaxsiy ma’lumotlari, masalan, moliyaviy va tibbiy ma’lumotlar yoki noqonuniy daromad olish uchun monetizatsiya qilinishi mumkin bo‘lgan boshqa maxfiy yozuvlar mavjud. Bu shuni anglatadiki, xakerlar ochiq, zaif hujum yuzasiga va shuning uchun qimmatli ma’lumotlarga kirish imkoniyatiga ega.

Hujumchilar turli xil usullarga ega bo‘lib, ular dasturga asoslangan hujumlarni boshlash uchun foydalanishi mumkin. Bugungi kunda ba’zi eng keng tarqalgan vektorlarni aniqlash mumkin.

Masalan, saytlararo skript (yoki XSS) xakerlar orasida mashhur. Ushbu hujum tajovuzkor ishonchli veb-saytga zararli kodni kiritib, uni shubhali foydalanuvchiga yuborganda sodir bo‘ladi. Yuboruvchining kodi ishonchli deb hisoblasak, qabul qiluvchining brauzeri uni tasdiqlamasdan amalga oshiradi va shu bilan xakerga brauzerda saqlangan har qanday yozuvlarga kirish huquqini beradi. Shu sababli, joriy so‘rov uchun PHP tomonidan yaratilmagan har qanday ma’lumotlar ishonchsiz ekanligini yodda tutish kerak. Brauzer serverdan olgan hamma narsaga ishonadi va bu saytlararo skript yaratishning asosiy sabablaridan biridir.

SQL in’yeksiyasi bilan saytlararo skript yaratish - Bu hujum foydalanuvchi so‘rovini bajarish uchun ilovalar o‘z ma’lumotlar bazasini so‘rashi kerakligidan foydalanadi. Biroq, oddiy kontent so‘rovini qondirish o‘rniga, tajovuzkor veb-sahifaga o‘zining SQL so‘rovini kiritadi va zararsiz kiritish so‘rovini zararli so‘rov bilan samarali almashtiradi. Muvaffaqiyatli hujumlar tajovuzkorlarga identifikatorni soxtalashtirish, ma’lumotlarni o‘zgartirish, ma’lumotlarni yo‘q qilish yoki ularga butunlay kirish imkoniga ega bo‘ladi.

Hisob ma’lumotlarini to‘ldirish: foydalanuvchi akkauntini o‘g‘irlashning eng keng tarqalgan usullaridan biri. Ushbu hujum yuzlab turli saytlarga sizib chiqqan parol va foydalanuvchi nomlarini qo‘pol kuch bilan avtomatik kiritishni o‘z ichiga oladi. Hujum insonning bir xil parolni bir nechta hisob va ilovalarda qayta ishlatish odatidan foydalanadi.

DDoS: Tashkilot serverini bajara oladigandan ko‘ra ko‘proq so‘rovlar bilan to‘ldirish orqali ishlaydi. Serverni haddan tashqari yuklash orqali hujum veb-sahifalarni yuklash vaqtlarini qisqartirishi va butun veb-saytlarni butunlay o‘chirib qo‘yishi mumkin. Xakerlarning maqsadi aloqa liniyalarini buzish va ilova xizmatlarini ishlamay qoldirishdir. Buzg‘unchilar DDoS hujumini pastadir hisoblagich funksiyasini yoki juda katta hajmdagi so‘rovlarni keltirib chiqaradigan maxsus ob’yekt taqsimotini kodlash orqali amalga oshirishi mumkin.

Ko‘pgina xakerlik sxemalariga qaramasdan, tashkilotlarda hujumlardan himoya qilish uchun ishlatiladigan vositalar to‘plami ham mavjud. Masalan, kompaniyalar dasturiy ta’minotni ishlab chiqish hayotiy siklining boshida zaifliklarni aniqlaydigan va bartaraf etadigan avtomatlashtirilgan xavfsizlik vositalari yordamida hujum yuzasi ko‘rinishini oshirishi mumkin.

Nihoyat, tashkilotlarning arsenalida axloqiy (oq shapkali) xakerlar bo‘lishi kerak. Ushbu mutaxassislar mavjud zaifliklarni aniqlash uchun veb-ilovalarni mumkin bo‘lgan hujum usullarining to‘liq spektriga ta’sir qilish orqali xakerning harakatlarini oldindan bilishlari mumkin.