Locked History Actions

WEB atakos

Žodis angliškai:

Web attacks

Santrumpa:

Web attacks

Žodis lietuviškai:

WEB atakos

Apibrėžimas:

WEB ATAKOS Didėjant internetiniams srautams didėja ir web atakų skaičius, jų rizika. Web ataka naujokams atrodo labai sudėtingas ir nesuprantamas apibrėžimas. Iš tiesų piktavaliui, norinčiam atlikti Web ataką reikia:

O Naršykės

O Interneto prieigos

O Tikslo, arba šviesaus proto

WEB atakos skirtomos į kategorijas:

O URL interpretacijos atakos

O Įėjimo patvirtinimo atakos

O SQL injekcijos atakos

O Apsimetimo kitu atakos

O Buferio perpildymo atakos

Beveik visose išvardintose kategorijose ugniasienė, arba užkarda yra neveiksni. Kodėl? Portai 80 ir 443 dažniausiai nesaugomi užkardos. Dauguma atvejų, vienintelė gynyba yra „saugus kodavimas“.

Web atakų tikslai:

O Papildomos informacijos atskleidimas

O Pagrindinio kodo savavališkas atskleidimas

O Papildomos informacijos atskleidimas

Papildomi tikslai būtų:

O porto skaneris

O Netcat‘as

O Whisker‘is arba pažeistumo tikrintojas

O OpenSSL ir kt. SSL mitas: „Stiprus 128 bitų skriptas sustabdo nuo piktavalių atakų“

TOP 10 Web atakų technikos:

1. URL klaidingas interpretavimas

2. Naršymas pagal direktoriją

3. Ne internetinių rinkmenų gavimas (angl. „non- web Files“)

4. Atvirkštinis adresavimas

5. Java dekompiliavimas

6. Pagrindinio kodo atskleidimas

7. Įėjimo patvirtinimas

8. SQL užklausos apnuodijimas

9. Sesijos užgrobimas

10. Buferio užpildymas

URL klaidingas interpretavimas

  • O Web serveris blogai išnagrinėja URL, pavyzdžiui, besaikė dekodavimo ataka (angl. superfluous decode attack).
  • O Neatitikimas šaltinio konfigūracijoje.

Atsakomosios priemonės:

  •  Paprastai pardavėjas pateikia pataisą.
  •  Nuodugnus ir periodiškas interneto serverio konfigūracijos patikrinimas.

Naršymas pagal direktoriją

O Galimybė gauti visą direktorijos sąrašą tarp interneto serverių.

O Paprastai nutinka, kai numatytojo dokumento trūksta.

O ne tokia griežta internetinio serverio konfigūracija.

Atsakomosios priemonės:

 Slapta serverio konfigūracija.

 Išjungti direktorijų sąrašą.

 Kartais klaida gali reikalauti, kad pardavėjas pateiktų pataisymus.

Ne internetinių rinkmenų gavimas

O ne internetinės rinkmenos, vadinamos:

  •  Archyvinės rinkmenos (.zip, .tar .gz)
  •  Atsarginės rinkmenos (.bak)  Antraštinės / Įvesties rinkmenos (.inc, .asa)
  •  Tekstinės rinkmenos (.txt)

Atsakomosios priemonės:

 Pašalinti neatsargų buvimą tokiose bylose / rinkmenose.

 Išjungti kai kuriuos failų tipus, sukuriant filtrus.

 Griežtai laikytis kontrolės.

Atvirkštinis adresavimas

O Web serveriai gali dirbti abiems būdais.

O Paprastai vartotojams leidžiama prisijungti prie svetainės per tinklo prieigą.

Atsakomosios priemonės:

  •  Kruopščiai patikrinkite interneto serverio konfigūraciją.
  •  Būkite atsargūs kurdami URL filtrą vidaus serveriams.

Java dekompiliavimas

  • O JAVA Bytecode gali būti efektyviai dekompiliuota.
  • O gali atskleisti slaptą informaciją, kaip slaptažodžiai ir kt.
  • O taip pat gali būti atskleista logika, pvz, kai parenkami sesijos identifikatoriai.
  • O JAVA archyvo failai (.jar) gali tapinti ne tik bytecode, bet ir kitus konfigūracijos failus.

Atsakomosios priemonės:

• Eliminavimas slaptos informacijos per bytecode.

• Nereikalingų failų šalinimas (.jar).

Pagrindinio kodo atskleidimas

  • O Puolantieji gali gauti pagrindinį kodą tam skirta programa.
  • O kodas gali būti naudojamas rasti daugiau klaidų ir spragų.
  • O atskleidimas gali būti įvykdytas daugeliu būdų.
  • O blogas apsaugos dizainas.
  • O netinkamos nuostatos arba pardavėjo klaidos.

Atsakomosios priemonės:

 Pardavėjas teikia pataisymus.

 Serverio konfigūracijos saugumas.

 Saugaus kodavimo praktika.

Įėjimo patvirtinimas

O tai didžiausia interneto įsilaužimų priežastis.

O visi įėjimai turi būtipatvirtinti.

Atsakomosios priemonės:

 Slaptažodžių slaptumas.

 Kodavimo praktika ir testavimai.

SQL užklausos apnuodijimas

  • O paramatrai iš URL ar įvesties laukų naudojami SQL užklausose.
  • O duomenys gali būti pakeisti arba išplėsti SQL užklausose.

Atsakomosios priemonės:

 Kruopšti kodo apžvalga.

 Eliminavimas nereikalingų duomenų bazės vartotojų, bei jų užklausų.

Sesijos užgrobimas

  • O HTTP iš esmės yra „be pilietybės “(angl. stateless) protokolas.
  • O Daugelis interneto programų yra „su pilietybe“ (angl. stateful).

Atsakomosios priemonės:

  1. Naudoti serverio sesijos ID sekimą.
  2. Suderinti susijungimus su laiko juosta.
  3. Sunkus iššifravimas.

Buferio užpildymas

  • O Greitas ir blogas patikrinimas.
  • O Web serverio HTTP užklausos.
  • O gali sukelti:
  •  Atsikirtimą nuo paslaugos.
  •  Nuotolinį komandų vykdymą.

Atsakomosios priemonės:

 Pardavėjas teikia pataisymus.

 Pagrindinio kodo įvertinimas.

 Buferio testavimas.

 Greitai patikrinti per paraiškas.

Naudota literatūra:

http://www.blackhat.com/presentations/bh-asia-02/bh-asia-02-shah.pdf

http://deadliestwebattacks.com/

paskutinį kartą redaguota 2012-04-21 12:55:31 redaktoriaus BalysRutkauskas