व्यापार प्रक्रिया त्रुटियों को सुरक्षा जोखिमों को देखा गया

एक सुरक्षित वेबसाइट चलाने का मतलब केवल क्रॉस-साइट स्क्रिप्टिंग और एसक्यूएल इंजेक्शन हमलों के खिलाफ सुरक्षा से अधिक है। वेब साइट्स को कम करने वाली व्यावसायिक प्रक्रियाओं में त्रुटियां गंभीर सुरक्षा जोखिम भी पेश कर सकती हैं, वेब सुरक्षा कंपनी के सीटीओ ने गुरुवार को कहा।

प्रक्रियाओं में त्रुटियां, या व्यावसायिक तर्क, वेब साइटों के लिए हैकर्स को अत्यधिक लाभदायक साबित कर सकते हैं, कम आवश्यकता है सोर्स बोस्टन सिक्योरिटी शोकेस में व्हाईटहाट सिक्योरिटी के सीटीओ यिर्मयाह ग्रॉसमैन ने कहा कि इसका फायदा उठाने के लिए कौशल कभी-कभी तकनीकी रूप से गैरकानूनी नहीं है।

"यदि आप जानते हैं कि क्या देखना है, तो ये मुद्दे आम हैं।"

[आगे पढ़ें: अपने विंडोज पीसी से मैलवेयर कैसे निकालें]

उन्होंने इन त्रुटियों के कई उदाहरण पेश किए, जिनमें वेब साइट डिज़ाइन, कैप्चा प्रमाणीकरण सिस्टम और उपयोगकर्ता विशेषाधिकार शामिल हैं। जो लोग उनका लाभ उठाते हैं उन्हें अक्सर सेवा का उपयोग करने से प्रतिबंधित कर दिया जाता है, हालांकि कभी-कभी उनका मुकदमा चलाया जाता है।

2007 में एक महिला पर अपने व्यापार तर्क में दोष का शोषण करके 412,000 अमेरिकी डॉलर से क्यूवीसी को स्कैम करने का आरोप था। उन्होंने होम-शॉपिंग नेटवर्क के साथ 1,800 वस्तुओं के ऑर्डर दिए और फिर अपनी वेबसाइट पर ऑर्डर रद्द कर दिए। न्यायमूर्ति को वापस लौटने के लिए उन्हें क्रेडिट मिला, लेकिन वस्तुओं को वैसे भी भेजा गया और उन्होंने उन्हें eBay पर बेचा, न्याय विभाग ने कहा। क्यूवीसी इस मामले से अवगत हो गया जब eBay उपयोगकर्ताओं ने अभी भी अपने पैकेजिंग में आइटम प्राप्त करने के बारे में संपर्क किया। अंततः महिला ने वायर धोखाधड़ी के लिए दोषी ठहराया।

पासवर्ड रीसेट फीचर्स अनधिकृत खाता पहुंच का कारण बन सकती हैं अगर वे स्पष्ट प्रश्न पूछें और हैकर्स के पीड़ितों के बारे में जानकारी के मामूली टुकड़े हैं। ग्रॉसमैन ने पूर्व मोबाइल सेवा प्रदाता स्प्रिंट से जुड़े एक उदाहरण की पेशकश की। अपने पासवर्ड रीसेट करने के लिए, उन्होंने कहा, एक हैकर को केवल एक व्यक्ति के मोबाइल फोन नंबर और जानकारी का मूल भाग जानने की आवश्यकता होती है जैसे कि वे कहाँ रहते थे या जिस कार ने उन्हें चलाया था। इससे किसी हैकर को पीड़ित के नाम पर नए फोन ऑर्डर करने या अपने फोन पर नई सेवाएं इंस्टॉल करने की इजाजत हो सकती है।

कूपन नंबर क्रमशः एक-दूसरे के करीब होने पर ई-कूपन व्यापारियों को जोखिम देते हैं। ग्रॉसमैन ने कहा कि एक खुदरा विक्रेता ने अपने कुछ उच्च मूल्य वाले आइटमों को कुछ डॉलर के लिए बेचने के बाद देखा है, एक हैकर ने कूपन संख्याओं को उजागर करने के लिए एक स्क्रिप्ट लिखी है, जो केवल कुछ अंकों से भिन्न है। खुदरा विक्रेता ने उस समस्या की खोज की जब उसके सिस्टम लॉग ने रात में संसाधित होने वाले आदेशों की एक बहुतायत को खोला, जबकि हैकर की स्क्रिप्ट चल रही थी।

हैकर अन्य वेब सर्फर्स को उनके लिए कैप्चा परीक्षणों को हल करने के लिए राजी कर सकते हैं ताकि उन्हें मुफ्त में वादे के साथ वेब साइटों पर लुभाया जा सके। संगीत या वयस्क सामग्री। कैप्चास को किसी व्यक्ति को वेब ई-मेल खाते जैसी सेवाओं के लिए साइन अप करने के लिए जंबल वर्णों की एक स्ट्रिंग को समझने की आवश्यकता होती है। वेब सर्फर कैप्चास को हल करते हैं, जो हैकर को प्रॉक्सी सर्वर के माध्यम से भेजा जाता है, जो तब उन्हें स्पैम या कुछ अन्य गतिविधि भेजने के लिए एकाधिक ई-मेल खातों के लिए साइन अप करने के लिए उपयोग करता है।

"जब तक आपके पास पर्याप्त उपयोगकर्ता आते हैं ग्रॉसमैन ने कहा, "आपकी वेबसाइट पर, आपके पास कैप्चा हल हो गया है।" "बुरे लोग इन कैप्चास को पराजित करना चाहते हैं ताकि वे हमें स्पैम कर सकें।"

एक और दोष उपयोगकर्ताओं को किसी वेबसाइट के सभी हिस्सों तक पहुंच प्रदान कर रहा है जब उनके पास किसी विशेष सेवा के लिए लॉगिन या पासवर्ड होता है। उदाहरण के लिए, 2004 में बिजनेस वायर प्रेस रिलीज सेवा के लिए एक एस्टोनियाई फर्म के कर्मचारियों ने साइन अप किया। यह पता चला कि साइट पर यूआरएल में कभी-कभी समाचार विज्ञप्ति के बारे में जानकारी होती है जिसे अभी तक सार्वजनिक नहीं किया गया था। यूआरएल की खोज करने वाले कार्यक्रम का उपयोग करके, फर्म के कर्मचारी संवेदनशील व्यापार और वित्तीय जानकारी को उजागर करने में सक्षम थे। इस जानकारी के आधार पर स्टॉक खरीदने और बेचने के बाद, कर्मचारियों ने 7.8 मिलियन डॉलर कमाए, लेकिन अमेरिकी नियामकों द्वारा धोखाधड़ी के आरोपों के साथ भी मारा गया।

उन्होंने ध्यान दिया कि ऐसे कई ऐसे उदाहरण सामने आए हैं जो कभी प्रकाश में नहीं आए क्योंकि अपराधी थे कभी पकड़ा नहीं।

उन्होंने कहा कि वेब सुरक्षा गुणवत्ता आश्वासन से परे और वेब अनुप्रयोगों को सही ढंग से डिजाइन करने के लिए विस्तारित करती है ताकि सेवाओं को संचालित करने के लिए कैसे स्थापित किया जा सके।