= Žodis angliškai: =
[[Web attacks]]

= Santrumpa: =
[[Web attacks]]

= Žodis lietuviškai: =
WEB atakos

= Apibrėžimas: =
'''WEB ATAKOS''' Didėjant internetiniams srautams didėja ir web atakų skaičius, jų rizika. Web ataka  naujokams atrodo labai sudėtingas ir nesuprantamas apibrėžimas.  Iš tiesų piktavaliui, norinčiam atlikti Web ataką reikia:

O Naršykės

O Interneto prieigos

O  Tikslo, arba šviesaus proto

'''WEB atakos skirtomos į kategorijas: '''

O URL interpretacijos atakos

O Įėjimo patvirtinimo atakos

O SQL injekcijos atakos

O Apsimetimo kitu atakos

O Buferio perpildymo atakos

Beveik visose išvardintose kategorijose ugniasienė, arba  užkarda yra neveiksni.  Kodėl? Portai '''80 '''ir '''443 '''dažniausiai nesaugomi užkardos. Dauguma atvejų, vienintelė gynyba yra „saugus kodavimas“.

'''Web atakų tikslai:'''

O Papildomos informacijos atskleidimas

O Pagrindinio kodo savavališkas atskleidimas

O Papildomos informacijos atskleidimas

'''Papildomi tikslai būtų: '''

O porto skaneris

O Netcat‘as

O Whisker‘is arba pažeistumo tikrintojas

O OpenSSL ir kt. SSL mitas: „Stiprus 128 bitų skriptas sustabdo nuo  piktavalių atakų“

__'''TOP 10 Web atakų technikos: '''__

'''1.      URL klaidingas interpretavimas '''

'''2. Naršymas pagal direktoriją '''

'''3. Ne internetinių rinkmenų gavimas (angl. „non- web Files“) '''

'''4. Atvirkštinis adresavimas '''

'''5.      Java dekompiliavimas '''

'''6. Pagrindinio kodo atskleidimas '''

'''7.      Įėjimo patvirtinimas '''

'''8.      SQL užklausos apnuodijimas '''

'''9. Sesijos užgrobimas '''

'''10. Buferio užpildymas '''

__'''URL klaidingas interpretavimas '''__

 . O Web serveris blogai išnagrinėja URL, pavyzdžiui, besaikė dekodavimo ataka (angl. superfluous decode attack).
 . O Neatitikimas šaltinio konfigūracijoje.

Atsakomosios priemonės:

 .        Paprastai pardavėjas pateikia pataisą.
 .        Nuodugnus ir periodiškas interneto serverio  konfigūracijos patikrinimas.

__'''Naršymas pagal direktoriją '''__

O Galimybė gauti visą direktorijos sąrašą tarp interneto serverių.

O Paprastai nutinka, kai numatytojo dokumento trūksta.

O ne tokia griežta internetinio serverio konfigūracija.

Atsakomosios priemonės:

       Slapta serverio konfigūracija.

       Išjungti direktorijų sąrašą.

       Kartais klaida gali reikalauti, kad pardavėjas pateiktų pataisymus.

__'''Ne internetinių rinkmenų gavimas'''__

O  ne internetinės rinkmenos, vadinamos:

 .        Archyvinės rinkmenos (.zip, .tar .gz)

 .        Atsarginės rinkmenos (.bak)        Antraštinės / Įvesties rinkmenos (.inc, .asa)
 .        Tekstinės rinkmenos (.txt)

Atsakomosios priemonės:

       Pašalinti neatsargų buvimą tokiose bylose / rinkmenose.

       Išjungti kai kuriuos failų tipus, sukuriant filtrus.

       Griežtai laikytis kontrolės.

__'''Atvirkštinis adresavimas'''__

O Web serveriai gali dirbti abiems būdais.

O Paprastai vartotojams leidžiama prisijungti prie svetainės per tinklo prieigą.

Atsakomosios priemonės:

 .        Kruopščiai patikrinkite interneto serverio konfigūraciją.
 .        Būkite atsargūs kurdami URL filtrą vidaus serveriams.

__'''Java dekompiliavimas '''__

 . O JAVA Bytecode gali būti efektyviai dekompiliuota.
 . O gali atskleisti slaptą informaciją, kaip slaptažodžiai ir kt.
 . O taip pat gali būti atskleista logika, pvz, kai parenkami sesijos identifikatoriai.
 . O JAVA archyvo failai (.jar) gali tapinti ne tik bytecode, bet ir kitus konfigūracijos failus.

Atsakomosios priemonės:

•       Eliminavimas slaptos informacijos  per bytecode.

•       Nereikalingų failų šalinimas (.jar).''''''

__'''Pagrindinio kodo atskleidimas '''__

 . O Puolantieji gali gauti pagrindinį kodą tam skirta programa.
 . O kodas gali būti naudojamas rasti daugiau klaidų ir spragų.
 . O atskleidimas gali būti įvykdytas daugeliu būdų.
 . O blogas apsaugos dizainas.
 . O netinkamos nuostatos arba pardavėjo klaidos.

Atsakomosios priemonės:

       Pardavėjas teikia pataisymus.

       Serverio konfigūracijos saugumas.

       Saugaus kodavimo praktika.__''''''__

__'''Įėjimo patvirtinimas '''__

O tai didžiausia interneto įsilaužimų priežastis.

O visi įėjimai turi būtipatvirtinti.

Atsakomosios priemonės:

       Slaptažodžių slaptumas.

       Kodavimo praktika ir testavimai.

__'''SQL užklausos apnuodijimas '''__

 . O paramatrai iš URL ar įvesties laukų naudojami SQL užklausose.
 . O duomenys gali būti pakeisti arba išplėsti SQL užklausose.

Atsakomosios priemonės:

       Kruopšti kodo apžvalga.

       Eliminavimas nereikalingų duomenų bazės vartotojų, bei jų užklausų.''''''

__'''Sesijos užgrobimas '''__

 . O HTTP iš esmės yra „be pilietybės “(angl. stateless) protokolas.
 . O Daugelis interneto programų yra „su pilietybe“ (angl. stateful).

Atsakomosios priemonės:

 1. Naudoti serverio sesijos ID sekimą.
 1. Suderinti susijungimus su laiko juosta.
 1. Sunkus iššifravimas.

__'''Buferio užpildymas '''__

 . O Greitas ir blogas patikrinimas.
 . O Web serverio HTTP užklausos.
 . O gali sukelti:
 .        Atsikirtimą nuo paslaugos.

 .        Nuotolinį komandų vykdymą.

Atsakomosios priemonės:

       Pardavėjas teikia pataisymus.

       Pagrindinio kodo įvertinimas.

       Buferio testavimas.

       Greitai patikrinti per paraiškas.

 .
= Naudota literatūra: =
'''http://www.blackhat.com/presentations/bh-asia-02/bh-asia-02-shah.pdf '''

'''http://deadliestwebattacks.com/ '''

----
 . CategoryŽodis