Web Exploitation - XSS, SQLi, CSRF, SSRF - Cybersecurity

בינואר 2008, Heartland Payment Systems - חברת עיבוד תשלומים אמריקאית - גילתה שמישהו שדד אותה. 130 מיליון כרטיסי אשראי ודביט. לא פרצה מורכבת ב-infrastructure פנימי, לא APT מתוחכם עם zero-days. SQL Injection בטופס התחברות של Web Application ציבורי. אלברט גונזלז, התוקף, קיבל 20 שנה בכלא - עד היום אחת מהדינים הארוכים ביותר לפשע סייבר בהיסטוריה האמריקאית.

עשר שנים אחרי, באוגוסט 2018, British Airways הודיעה על פריצה. 500,000 רשומות לקוחות נגנבו. הפעם לא SQLi - אלא JavaScript זדוני שהוזרק לדף התשלום של האתר. כאשר לקוחות הקישו את פרטי כרטיס האשראי שלהם, הסקריפט שלח את המידע בשקט לשרת של התוקפים. Magecart, הקבוצה שעמדה מאחורי זה, פגעה ב-Ticketmaster, Newegg, ועוד עשרות אתרים באותה תקופה.

שני אירועים, עשור הפרש, אותה תוצאה. זה לא מקרה. Web Exploitation הוא וקטור ההתקפה הנפוץ ביותר בעולם האמיתי פשוט כי Web Applications נמצאים בכל מקום - וכי רוב המפתחים מעולם לא לומדים לחשוב כמו תוקף.

British Airways initial GDPR fine (2019) for the Magecart breach