Žodis angliškai:

Web attacks

Santrumpa:

Web attacks

Žodis lietuviškai:

WEB atakos

Apibrėžimas:

WEB ATAKOS Didėjant internetiniams srautams didėja ir web atakų skaičius, jų rizika. Web ataka naujokams atrodo labai sudėtingas ir nesuprantamas apibrėžimas. Iš tiesų piktavaliui, norinčiam atlikti Web ataką reikia:

O Naršykės

O Interneto prieigos

O Tikslo, arba šviesaus proto

WEB atakos skirtomos į kategorijas:

O URL interpretacijos atakos

O Įėjimo patvirtinimo atakos

O SQL injekcijos atakos

O Apsimetimo kitu atakos

O Buferio perpildymo atakos

Beveik visose išvardintose kategorijose ugniasienė, arba užkarda yra neveiksni. Kodėl? Portai 80 ir 443 dažniausiai nesaugomi užkardos. Dauguma atvejų, vienintelė gynyba yra „saugus kodavimas“.

Web atakų tikslai:

O Papildomos informacijos atskleidimas

O Pagrindinio kodo savavališkas atskleidimas

O Papildomos informacijos atskleidimas

Papildomi tikslai būtų:

O porto skaneris

O Netcat‘as

O Whisker‘is arba pažeistumo tikrintojas

O OpenSSL ir kt. SSL mitas: „Stiprus 128 bitų skriptas sustabdo nuo piktavalių atakų“

TOP 10 Web atakų technikos:

1. URL klaidingas interpretavimas

2. Naršymas pagal direktoriją

3. Ne internetinių rinkmenų gavimas (angl. „non- web Files“)

4. Atvirkštinis adresavimas

5. Java dekompiliavimas

6. Pagrindinio kodo atskleidimas

7. Įėjimo patvirtinimas

8. SQL užklausos apnuodijimas

9. Sesijos užgrobimas

10. Buferio užpildymas

URL klaidingas interpretavimas

• O Web serveris blogai išnagrinėja URL, pavyzdžiui, besaikė dekodavimo ataka (angl. superfluous decode attack).
• O Neatitikimas šaltinio konfigūracijoje.

Atsakomosios priemonės:

•  Paprastai pardavėjas pateikia pataisą.
•  Nuodugnus ir periodiškas interneto serverio konfigūracijos patikrinimas.

Naršymas pagal direktoriją

O Galimybė gauti visą direktorijos sąrašą tarp interneto serverių.

O Paprastai nutinka, kai numatytojo dokumento trūksta.

O ne tokia griežta internetinio serverio konfigūracija.

Atsakomosios priemonės:

 Slapta serverio konfigūracija.

 Išjungti direktorijų sąrašą.

 Kartais klaida gali reikalauti, kad pardavėjas pateiktų pataisymus.

Ne internetinių rinkmenų gavimas

O ne internetinės rinkmenos, vadinamos:

•  Archyvinės rinkmenos (.zip, .tar .gz)
•  Atsarginės rinkmenos (.bak)  Antraštinės / Įvesties rinkmenos (.inc, .asa)
•  Tekstinės rinkmenos (.txt)

Atsakomosios priemonės:

 Pašalinti neatsargų buvimą tokiose bylose / rinkmenose.

 Išjungti kai kuriuos failų tipus, sukuriant filtrus.

 Griežtai laikytis kontrolės.

Atvirkštinis adresavimas

O Web serveriai gali dirbti abiems būdais.

O Paprastai vartotojams leidžiama prisijungti prie svetainės per tinklo prieigą.

Atsakomosios priemonės:

•  Kruopščiai patikrinkite interneto serverio konfigūraciją.
•  Būkite atsargūs kurdami URL filtrą vidaus serveriams.

Java dekompiliavimas

• O JAVA Bytecode gali būti efektyviai dekompiliuota.
• O gali atskleisti slaptą informaciją, kaip slaptažodžiai ir kt.
• O taip pat gali būti atskleista logika, pvz, kai parenkami sesijos identifikatoriai.
• O JAVA archyvo failai (.jar) gali tapinti ne tik bytecode, bet ir kitus konfigūracijos failus.

Atsakomosios priemonės:

• Eliminavimas slaptos informacijos per bytecode.

• Nereikalingų failų šalinimas (.jar).

Pagrindinio kodo atskleidimas

• O Puolantieji gali gauti pagrindinį kodą tam skirta programa.
• O kodas gali būti naudojamas rasti daugiau klaidų ir spragų.
• O atskleidimas gali būti įvykdytas daugeliu būdų.
• O blogas apsaugos dizainas.
• O netinkamos nuostatos arba pardavėjo klaidos.

Atsakomosios priemonės:

 Pardavėjas teikia pataisymus.

 Serverio konfigūracijos saugumas.

 Saugaus kodavimo praktika.

Įėjimo patvirtinimas

O tai didžiausia interneto įsilaužimų priežastis.

O visi įėjimai turi būtipatvirtinti.

Atsakomosios priemonės:

 Slaptažodžių slaptumas.

 Kodavimo praktika ir testavimai.

SQL užklausos apnuodijimas

• O paramatrai iš URL ar įvesties laukų naudojami SQL užklausose.
• O duomenys gali būti pakeisti arba išplėsti SQL užklausose.

Atsakomosios priemonės:

 Kruopšti kodo apžvalga.

 Eliminavimas nereikalingų duomenų bazės vartotojų, bei jų užklausų.

Sesijos užgrobimas

• O HTTP iš esmės yra „be pilietybės “(angl. stateless) protokolas.
• O Daugelis interneto programų yra „su pilietybe“ (angl. stateful).

Atsakomosios priemonės:

1. Naudoti serverio sesijos ID sekimą.
2. Suderinti susijungimus su laiko juosta.
3. Sunkus iššifravimas.

Buferio užpildymas

• O Greitas ir blogas patikrinimas.
• O Web serverio HTTP užklausos.
• O gali sukelti:
•  Atsikirtimą nuo paslaugos.
•  Nuotolinį komandų vykdymą.

Atsakomosios priemonės:

 Pardavėjas teikia pataisymus.

 Pagrindinio kodo įvertinimas.

 Buferio testavimas.

 Greitai patikrinti per paraiškas.

Naudota literatūra:

http://www.blackhat.com/presentations/bh-asia-02/bh-asia-02-shah.pdf

http://deadliestwebattacks.com/

---

• CategoryŽodis