|
Dydis: 5732
Komentaras:
|
Dydis: 5879
Komentaras:
|
| Pašalinimai yra pažymėti taip. | Pridėjimai yra pažymėti taip. |
| Eilutė 35: | Eilutė 35: |
| O Papildomos informacijos atskleidimas | O Papildomos informacijos atskleidimas |
| Eilutė 41: | Eilutė 41: |
| Eilutė 75: | Eilutė 73: |
| URL klaidingas interpretavimas . O Web serveris blogai išnagrinėja URL, pavyzdžiui, besaikė dekodavimo ataka (angl. superfluous decode attack). O Neatitikimas šaltinio konfigūracijoje. Atsakomosios priemonės: . Paprastai pardavėjas pateikia pataisą. Nuodugnus ir periodiškas interneto serverio konfigūracijos patikrinimas. Naršymas pagal direktoriją |
'''URL klaidingas interpretavimas ''' . O Web serveris blogai išnagrinėja URL, pavyzdžiui, besaikė dekodavimo ataka (angl. superfluous decode attack). . O Neatitikimas šaltinio konfigūracijoje. Atsakomosios priemonės: . Paprastai pardavėjas pateikia pataisą. . Nuodugnus ir periodiškas interneto serverio konfigūracijos patikrinimas. '''Naršymas pagal direktoriją ''' |
| Eilutė 95: | Eilutė 95: |
| . Išjungti direktorijų sąrašą. | Išjungti direktorijų sąrašą. |
| Eilutė 99: | Eilutė 99: |
| Ne internetinių rinkmenų gavimas . O ne internetinės rinkmenos, vadinamos: Archyvinės rinkmenos (.zip, .tar .gz) |
'''Ne internetinių rinkmenų gavimas''' O ne internetinės rinkmenos, vadinamos: Archyvinės rinkmenos (.zip, .tar .gz) |
| Eilutė 107: | Eilutė 107: |
| Tekstinės rinkmenos (.txt) Atsakomosios priemonės: | Tekstinės rinkmenos (.txt) Atsakomosios priemonės: |
| Eilutė 115: | Eilutė 119: |
| Atvirkštinis adresavimas . O Web serveriai gali dirbti abiems būdais. |
'''Atvirkštinis adresavimas''' O Web serveriai gali dirbti abiems būdais. |
| Eilutė 123: | Eilutė 127: |
| . Kruopščiai patikrinkite interneto serverio konfigūraciją. Būkite atsargūs kurdami URL filtrą vidaus serveriams. Java dekompiliavimas |
. Kruopščiai patikrinkite interneto serverio konfigūraciją. . Būkite atsargūs kurdami URL filtrą vidaus serveriams. '''Java dekompiliavimas ''' |
| Eilutė 136: | Eilutė 141: |
| • Nereikalingų failų šalinimas (.jar). . Pagrindinio kodo atskleidimas |
• Nereikalingų failų šalinimas (.jar).'''''' '''Pagrindinio kodo atskleidimas ''' |
| Eilutė 150: | Eilutė 156: |
| . Serverio konfigūracijos saugumas. Saugaus kodavimo praktika. Įėjimo patvirtinimas | Serverio konfigūracijos saugumas. Saugaus kodavimo praktika. '''Įėjimo patvirtinimas ''' |
| Eilutė 162: | Eilutė 172: |
| SQL užklausos apnuodijimas | '''SQL užklausos apnuodijimas ''' |
| Eilutė 171: | Eilutė 181: |
| Eliminavimas nereikalingų duomenų bazės vartotojų, bei jų užklausų. . Sesijos užgrobimas |
Eliminavimas nereikalingų duomenų bazės vartotojų, bei jų užklausų.'''''' '''Sesijos užgrobimas ''' |
| Eilutė 180: | Eilutė 191: |
| . Naudoti serverio sesijos ID sekimą. Suderinti susijungimus su laiko juosta. Sunkus iššifravimas. Buferio užpildymas |
1. Naudoti serverio sesijos ID sekimą. 1. Suderinti susijungimus su laiko juosta. 1. Sunkus iššifravimas. '''Buferio užpildymas ''' |
| Eilutė 188: | Eilutė 201: |
| Atsikirtimą nuo paslaugos. . Nuotolinį komandų vykdymą. |
Atsikirtimą nuo paslaugos. . Nuotolinį komandų vykdymą. |
| Eilutė 196: | Eilutė 209: |
| . Pagrindinio kodo įvertinimas. | Pagrindinio kodo įvertinimas. |
Žodis angliškai:
Santrumpa:
Žodis lietuviškai:
WEB atakos
Apibrėžimas:
WEB ATAKOS Didėjant internetiniams srautams didėja ir web atakų skaičius, jų rizika. Web ataka naujokams atrodo labai sudėtingas ir nesuprantamas apibrėžimas. Iš tiesų piktavaliui, norinčiam atlikti Web ataką reikia:
O Naršykės
O Interneto prieigos
O Tikslo, arba šviesaus proto
WEB atakos skirtomos į kategorijas:
O URL interpretacijos atakos
O Įėjimo patvirtinimo atakos
O SQL injekcijos atakos
O Apsimetimo kitu atakos
O Buferio perpildymo atakos
Beveik visose išvardintose kategorijose ugniasienė, arba užkarda yra neveiksni. Kodėl? Portai 80 ir 443 dažniausiai nesaugomi užkardos. Dauguma atvejų, vienintelė gynyba yra „saugus kodavimas“.
Web atakų tikslai:
O Papildomos informacijos atskleidimas
O Pagrindinio kodo savavališkas atskleidimas
O Papildomos informacijos atskleidimas
Papildomi tikslai būtų:
O porto skaneris
O Netcat‘as
O Whisker‘is arba pažeistumo tikrintojas
O OpenSSL ir kt. SSL mitas: „Stiprus 128 bitų skriptas sustabdo nuo piktavalių atakų“
TOP 10 Web atakų technikos:
1. URL klaidingas interpretavimas
2. Naršymas pagal direktoriją
3. Ne internetinių rinkmenų gavimas (angl. „non- web Files“)
4. Atvirkštinis adresavimas
5. Java dekompiliavimas
6. Pagrindinio kodo atskleidimas
7. Įėjimo patvirtinimas
8. SQL užklausos apnuodijimas
9. Sesijos užgrobimas
10. Buferio užpildymas
URL klaidingas interpretavimas
- O Web serveris blogai išnagrinėja URL, pavyzdžiui, besaikė dekodavimo ataka (angl. superfluous decode attack).
- O Neatitikimas šaltinio konfigūracijoje.
Atsakomosios priemonės:
- Paprastai pardavėjas pateikia pataisą.
- Nuodugnus ir periodiškas interneto serverio konfigūracijos patikrinimas.
Naršymas pagal direktoriją
O Galimybė gauti visą direktorijos sąrašą tarp interneto serverių.
O Paprastai nutinka, kai numatytojo dokumento trūksta.
O ne tokia griežta internetinio serverio konfigūracija.
Atsakomosios priemonės:
Slapta serverio konfigūracija.
Išjungti direktorijų sąrašą.
Kartais klaida gali reikalauti, kad pardavėjas pateiktų pataisymus.
Ne internetinių rinkmenų gavimas
O ne internetinės rinkmenos, vadinamos:
- Archyvinės rinkmenos (.zip, .tar .gz)
- Atsarginės rinkmenos (.bak) Antraštinės / Įvesties rinkmenos (.inc, .asa)
- Tekstinės rinkmenos (.txt)
Atsakomosios priemonės:
Pašalinti neatsargų buvimą tokiose bylose / rinkmenose.
Išjungti kai kuriuos failų tipus, sukuriant filtrus.
Griežtai laikytis kontrolės.
Atvirkštinis adresavimas
O Web serveriai gali dirbti abiems būdais.
O Paprastai vartotojams leidžiama prisijungti prie svetainės per tinklo prieigą.
Atsakomosios priemonės:
- Kruopščiai patikrinkite interneto serverio konfigūraciją.
- Būkite atsargūs kurdami URL filtrą vidaus serveriams.
Java dekompiliavimas
- O JAVA Bytecode gali būti efektyviai dekompiliuota.
- O gali atskleisti slaptą informaciją, kaip slaptažodžiai ir kt.
- O taip pat gali būti atskleista logika, pvz, kai parenkami sesijos identifikatoriai.
- O JAVA archyvo failai (.jar) gali tapinti ne tik bytecode, bet ir kitus konfigūracijos failus.
Atsakomosios priemonės:
• Eliminavimas slaptos informacijos per bytecode.
• Nereikalingų failų šalinimas (.jar).
Pagrindinio kodo atskleidimas
- O Puolantieji gali gauti pagrindinį kodą tam skirta programa.
- O kodas gali būti naudojamas rasti daugiau klaidų ir spragų.
- O atskleidimas gali būti įvykdytas daugeliu būdų.
- O blogas apsaugos dizainas.
- O netinkamos nuostatos arba pardavėjo klaidos.
Atsakomosios priemonės:
Pardavėjas teikia pataisymus.
Serverio konfigūracijos saugumas.
Saugaus kodavimo praktika.
Įėjimo patvirtinimas
O tai didžiausia interneto įsilaužimų priežastis.
O visi įėjimai turi būtipatvirtinti.
Atsakomosios priemonės:
Slaptažodžių slaptumas.
Kodavimo praktika ir testavimai.
SQL užklausos apnuodijimas
- O paramatrai iš URL ar įvesties laukų naudojami SQL užklausose.
- O duomenys gali būti pakeisti arba išplėsti SQL užklausose.
Atsakomosios priemonės:
Kruopšti kodo apžvalga.
Eliminavimas nereikalingų duomenų bazės vartotojų, bei jų užklausų.
Sesijos užgrobimas
- O HTTP iš esmės yra „be pilietybės “(angl. stateless) protokolas.
- O Daugelis interneto programų yra „su pilietybe“ (angl. stateful).
Atsakomosios priemonės:
- Naudoti serverio sesijos ID sekimą.
- Suderinti susijungimus su laiko juosta.
- Sunkus iššifravimas.
Buferio užpildymas
- O Greitas ir blogas patikrinimas.
- O Web serverio HTTP užklausos.
- O gali sukelti:
- Atsikirtimą nuo paslaugos.
- Nuotolinį komandų vykdymą.
Atsakomosios priemonės:
Pardavėjas teikia pataisymus.
Pagrindinio kodo įvertinimas.
Buferio testavimas.
Greitai patikrinti per paraiškas.
Naudota literatūra:
http://www.blackhat.com/presentations/bh-asia-02/bh-asia-02-shah.pdf
http://deadliestwebattacks.com/