Žodis angliškai:
Santrumpa:
Žodis lietuviškai:
WEB atakos
Apibrėžimas:
WEB ATAKOS Didėjant internetiniams srautams didėja ir web atakų skaičius, jų rizika. Web ataka naujokams atrodo labai sudėtingas ir nesuprantamas apibrėžimas. Iš tiesų piktavaliui, norinčiam atlikti Web ataką reikia:
O Naršykės
O Interneto prieigos
O Tikslo, arba šviesaus proto
WEB atakos skirtomos į kategorijas:
O URL interpretacijos atakos
O Įėjimo patvirtinimo atakos
O SQL injekcijos atakos
O Apsimetimo kitu atakos
O Buferio perpildymo atakos
Beveik visose išvardintose kategorijose ugniasienė, arba užkarda yra neveiksni. Kodėl? Portai 80 ir 443 dažniausiai nesaugomi užkardos. Dauguma atvejų, vienintelė gynyba yra „saugus kodavimas“.
Web atakų tikslai:
O Papildomos informacijos atskleidimas
O Pagrindinio kodo savavališkas atskleidimas
O Papildomos informacijos atskleidimas
Papildomi tikslai būtų:
O porto skaneris
O Netcat‘as
O Whisker‘is arba pažeistumo tikrintojas
O OpenSSL ir kt. SSL mitas: „Stiprus 128 bitų skriptas sustabdo nuo piktavalių atakų“
TOP 10 Web atakų technikos:
1. URL klaidingas interpretavimas
2. Naršymas pagal direktoriją
3. Ne internetinių rinkmenų gavimas (angl. „non- web Files“)
4. Atvirkštinis adresavimas
5. Java dekompiliavimas
6. Pagrindinio kodo atskleidimas
7. Įėjimo patvirtinimas
8. SQL užklausos apnuodijimas
9. Sesijos užgrobimas
10. Buferio užpildymas
URL klaidingas interpretavimas
- O Web serveris blogai išnagrinėja URL, pavyzdžiui, besaikė dekodavimo ataka (angl. superfluous decode attack).
- O Neatitikimas šaltinio konfigūracijoje.
Atsakomosios priemonės:
- Paprastai pardavėjas pateikia pataisą.
- Nuodugnus ir periodiškas interneto serverio konfigūracijos patikrinimas.
Naršymas pagal direktoriją
O Galimybė gauti visą direktorijos sąrašą tarp interneto serverių.
O Paprastai nutinka, kai numatytojo dokumento trūksta.
O ne tokia griežta internetinio serverio konfigūracija.
Atsakomosios priemonės:
Slapta serverio konfigūracija.
Išjungti direktorijų sąrašą.
Kartais klaida gali reikalauti, kad pardavėjas pateiktų pataisymus.
Ne internetinių rinkmenų gavimas
O ne internetinės rinkmenos, vadinamos:
- Archyvinės rinkmenos (.zip, .tar .gz)
- Atsarginės rinkmenos (.bak) Antraštinės / Įvesties rinkmenos (.inc, .asa)
- Tekstinės rinkmenos (.txt)
Atsakomosios priemonės:
Pašalinti neatsargų buvimą tokiose bylose / rinkmenose.
Išjungti kai kuriuos failų tipus, sukuriant filtrus.
Griežtai laikytis kontrolės.
Atvirkštinis adresavimas
O Web serveriai gali dirbti abiems būdais.
O Paprastai vartotojams leidžiama prisijungti prie svetainės per tinklo prieigą.
Atsakomosios priemonės:
- Kruopščiai patikrinkite interneto serverio konfigūraciją.
- Būkite atsargūs kurdami URL filtrą vidaus serveriams.
Java dekompiliavimas
- O JAVA Bytecode gali būti efektyviai dekompiliuota.
- O gali atskleisti slaptą informaciją, kaip slaptažodžiai ir kt.
- O taip pat gali būti atskleista logika, pvz, kai parenkami sesijos identifikatoriai.
- O JAVA archyvo failai (.jar) gali tapinti ne tik bytecode, bet ir kitus konfigūracijos failus.
Atsakomosios priemonės:
• Eliminavimas slaptos informacijos per bytecode.
• Nereikalingų failų šalinimas (.jar).
Pagrindinio kodo atskleidimas
- O Puolantieji gali gauti pagrindinį kodą tam skirta programa.
- O kodas gali būti naudojamas rasti daugiau klaidų ir spragų.
- O atskleidimas gali būti įvykdytas daugeliu būdų.
- O blogas apsaugos dizainas.
- O netinkamos nuostatos arba pardavėjo klaidos.
Atsakomosios priemonės:
Pardavėjas teikia pataisymus.
Serverio konfigūracijos saugumas.
Saugaus kodavimo praktika.
Įėjimo patvirtinimas
O tai didžiausia interneto įsilaužimų priežastis.
O visi įėjimai turi būtipatvirtinti.
Atsakomosios priemonės:
Slaptažodžių slaptumas.
Kodavimo praktika ir testavimai.
SQL užklausos apnuodijimas
- O paramatrai iš URL ar įvesties laukų naudojami SQL užklausose.
- O duomenys gali būti pakeisti arba išplėsti SQL užklausose.
Atsakomosios priemonės:
Kruopšti kodo apžvalga.
Eliminavimas nereikalingų duomenų bazės vartotojų, bei jų užklausų.
Sesijos užgrobimas
- O HTTP iš esmės yra „be pilietybės “(angl. stateless) protokolas.
- O Daugelis interneto programų yra „su pilietybe“ (angl. stateful).
Atsakomosios priemonės:
- Naudoti serverio sesijos ID sekimą.
- Suderinti susijungimus su laiko juosta.
- Sunkus iššifravimas.
Buferio užpildymas
- O Greitas ir blogas patikrinimas.
- O Web serverio HTTP užklausos.
- O gali sukelti:
- Atsikirtimą nuo paslaugos.
- Nuotolinį komandų vykdymą.
Atsakomosios priemonės:
Pardavėjas teikia pataisymus.
Pagrindinio kodo įvertinimas.
Buferio testavimas.
Greitai patikrinti per paraiškas.
Naudota literatūra:
http://www.blackhat.com/presentations/bh-asia-02/bh-asia-02-shah.pdf
http://deadliestwebattacks.com/