Locked History Actions

Skirtumas „WEB atakos“

Pakeitimai tarp versijų 1 ir 2
Versija 1 nuo 2012-04-21 09:06:23
Dydis: 5328
Redaktorius: BalysRutkauskas
Komentaras:
Versija 2 nuo 2012-04-21 09:10:11
Dydis: 5335
Redaktorius: BalysRutkauskas
Komentaras:
Pašalinimai yra pažymėti taip. Pridėjimai yra pažymėti taip.
Eilutė 11: Eilutė 11:
WEB ATAKOS <p>WEB ATAKOS</p>

Žodis angliškai:

Web attacks

Santrumpa:

Web attacks

Žodis lietuviškai:

WEB atakos

Apibrėžimas:

<p>WEB ATAKOS</p> Didėjant internetiniams srautams didėja ir web atakų skaičius, jų rizika. Web ataka naujokams atrodo labai sudėtingas ir nesuprantamas apibrėžimas. Iš tiesų piktavaliui, norinčiam atlikti Web ataką reikia: O Naršykės O Interneto prieigos O Tikslo, arba šviesaus proto

WEB atakos skirtomos į kategorijas: O URL interpretacijos atakos O Įėjimo patvirtinimo atakos O SQL injekcijos atakos O Apsimetimo kitu atakos O Buferio perpildymo atakos Beveik visose išvardintose kategorijose ugniasienė, arba užkarda yra neveiksni. Kodėl? Portai 80 ir 443 dažniausiai nesaugomi užkardos. Dauguma atvejų, vienintelė gynyba yra „saugus kodavimas“. Web atakų tikslai: O Papildomos informacijos atskleidimas O Pagrindinio kodo savavališkas atskleidimas O Papildomos informacijos atskleidimas Papildomi tikslai būtų: O porto skaneris O Netcat‘as O Whisker‘is arba pažeistumo tikrintojas O OpenSSL ir kt. SSL mitas: „Stiprus 128 bitų skriptas sustabdo nuo piktavalių atakų“

TOP 10 Web atakų technikos: 1. URL klaidingas interpretavimas 2. Naršymas pagal direktoriją 3. Ne internetinių rinkmenų gavimas (angl. „non- web Files“) 4. Atvirkštinis adresavimas 5. Java dekompiliavimas 6. Pagrindinio kodo atskleidimas 7. Įėjimo patvirtinimas 8. SQL užklausos apnuodijimas 9. Sesijos užgrobimas 10. Buferio užpildymas

URL klaidingas interpretavimas O Web serveris blogai išnagrinėja URL, pavyzdžiui, besaikė dekodavimo ataka (angl. superfluous decode attack). O Neatitikimas šaltinio konfigūracijoje.

Atsakomosios priemonės:  Paprastai pardavėjas pateikia pataisą.  Nuodugnus ir periodiškas interneto serverio konfigūracijos patikrinimas.

Naršymas pagal direktoriją O Galimybė gauti visą direktorijos sąrašą tarp interneto serverių. O Paprastai nutinka, kai numatytojo dokumento trūksta. O ne tokia griežta internetinio serverio konfigūracija.

Atsakomosios priemonės:  Slapta serverio konfigūracija.  Išjungti direktorijų sąrašą.  Kartais klaida gali reikalauti, kad pardavėjas pateiktų pataisymus.

Ne internetinių rinkmenų gavimas O ne internetinės rinkmenos, vadinamos:  Archyvinės rinkmenos (.zip, .tar .gz)  Atsarginės rinkmenos (.bak)  Antraštinės / Įvesties rinkmenos (.inc, .asa)  Tekstinės rinkmenos (.txt) Atsakomosios priemonės:  Pašalinti neatsargų buvimą tokiose bylose / rinkmenose.  Išjungti kai kuriuos failų tipus, sukuriant filtrus.  Griežtai laikytis kontrolės.

Atvirkštinis adresavimas O Web serveriai gali dirbti abiems būdais. O Paprastai vartotojams leidžiama prisijungti prie svetainės per tinklo prieigą. Atsakomosios priemonės:  Kruopščiai patikrinkite interneto serverio konfigūraciją.  Būkite atsargūs kurdami URL filtrą vidaus serveriams.

Java dekompiliavimas

  • O JAVA Bytecode gali būti efektyviai dekompiliuota. O gali atskleisti slaptą informaciją, kaip slaptažodžiai ir kt. O taip pat gali būti atskleista logika, pvz, kai parenkami sesijos identifikatoriai. O JAVA archyvo failai (.jar) gali tapinti ne tik bytecode, bet ir kitus konfigūracijos failus.

Atsakomosios priemonės: • Eliminavimas slaptos informacijos per bytecode. • Nereikalingų failų šalinimas (.jar).

  • Pagrindinio kodo atskleidimas
  • O Puolantieji gali gauti pagrindinį kodą tam skirta programa. O kodas gali būti naudojamas rasti daugiau klaidų ir spragų. O atskleidimas gali būti įvykdytas daugeliu būdų. O blogas apsaugos dizainas. O netinkamos nuostatos arba pardavėjo klaidos.

Atsakomosios priemonės:  Pardavėjas teikia pataisymus.  Serverio konfigūracijos saugumas.  Saugaus kodavimo praktika. Įėjimo patvirtinimas O tai didžiausia interneto įsilaužimų priežastis. O visi įėjimai turi būtipatvirtinti.

Atsakomosios priemonės:  Slaptažodžių slaptumas.  Kodavimo praktika ir testavimai.

SQL užklausos apnuodijimas

  • O paramatrai iš URL ar įvesties laukų naudojami SQL užklausose. O duomenys gali būti pakeisti arba išplėsti SQL užklausose.

Atsakomosios priemonės:  Kruopšti kodo apžvalga.  Eliminavimas nereikalingų duomenų bazės vartotojų, bei jų užklausų.

  • Sesijos užgrobimas
  • O HTTP iš esmės yra „be pilietybės “(angl. stateless) protokolas. O Daugelis interneto programų yra „su pilietybe“ (angl. stateful).

Atsakomosios priemonės:

  • Naudoti serverio sesijos ID sekimą. Suderinti susijungimus su laiko juosta. Sunkus iššifravimas.

Buferio užpildymas

  • O Greitas ir blogas patikrinimas. O Web serverio HTTP užklausos. O gali sukelti:

 Atsikirtimą nuo paslaugos.  Nuotolinį komandų vykdymą. Atsakomosios priemonės:  Pardavėjas teikia pataisymus.  Pagrindinio kodo įvertinimas.  Buferio testavimas.  Greitai patikrinti per paraiškas.

Naudota literatūra:

http://www.blackhat.com/presentations/bh-asia-02/bh-asia-02-shah.pdf

http://deadliestwebattacks.com/

CategoryŽodis

paskutinį kartą redaguota 2012-04-21 12:55:31 redaktoriaus BalysRutkauskas