Žodis angliškai:
Santrumpa:
Žodis lietuviškai:
WEB atakos
Apibrėžimas:
WEB ATAKOS Didėjant internetiniams srautams didėja ir web atakų skaičius, jų rizika. Web ataka naujokams atrodo labai sudėtingas ir nesuprantamas apibrėžimas. Iš tiesų piktavaliui, norinčiam atlikti Web ataką reikia:
O Naršykės
O Interneto prieigos
O Tikslo, arba šviesaus proto
WEB atakos skirtomos į kategorijas:
O URL interpretacijos atakos
O Įėjimo patvirtinimo atakos
O SQL injekcijos atakos
O Apsimetimo kitu atakos
- O Buferio perpildymo atakos
Beveik visose išvardintose kategorijose ugniasienė, arba užkarda yra neveiksni. Kodėl? Portai 80 ir 443 dažniausiai nesaugomi užkardos. Dauguma atvejų, vienintelė gynyba yra „saugus kodavimas“.
Web atakų tikslai: O Papildomos informacijos atskleidimas
O Pagrindinio kodo savavališkas atskleidimas
O Papildomos informacijos atskleidimas Papildomi tikslai būtų:
O porto skaneris
O Netcat‘as
- O Whisker‘is arba pažeistumo tikrintojas
O OpenSSL ir kt. SSL mitas: „Stiprus 128 bitų skriptas sustabdo nuo piktavalių atakų“
TOP 10 Web atakų technikos:
1. URL klaidingas interpretavimas
- Naršymas pagal direktoriją
- Ne internetinių rinkmenų gavimas (angl. „non- web Files“)
- Atvirkštinis adresavimas
5. Java dekompiliavimas
- Pagrindinio kodo atskleidimas
7. Įėjimo patvirtinimas
8. SQL užklausos apnuodijimas
- Sesijos užgrobimas
- Buferio užpildymas
URL klaidingas interpretavimas
- O Web serveris blogai išnagrinėja URL, pavyzdžiui, besaikė dekodavimo ataka (angl. superfluous decode attack). O Neatitikimas šaltinio konfigūracijoje.
Atsakomosios priemonės:
- Paprastai pardavėjas pateikia pataisą. Nuodugnus ir periodiškas interneto serverio konfigūracijos patikrinimas.
Naršymas pagal direktoriją
O Galimybė gauti visą direktorijos sąrašą tarp interneto serverių.
O Paprastai nutinka, kai numatytojo dokumento trūksta.
O ne tokia griežta internetinio serverio konfigūracija.
Atsakomosios priemonės:
Slapta serverio konfigūracija.
- Išjungti direktorijų sąrašą.
Kartais klaida gali reikalauti, kad pardavėjas pateiktų pataisymus.
Ne internetinių rinkmenų gavimas
- O ne internetinės rinkmenos, vadinamos:
Archyvinės rinkmenos (.zip, .tar .gz)
- Atsarginės rinkmenos (.bak) Antraštinės / Įvesties rinkmenos (.inc, .asa)
Tekstinės rinkmenos (.txt) Atsakomosios priemonės:
Pašalinti neatsargų buvimą tokiose bylose / rinkmenose.
Išjungti kai kuriuos failų tipus, sukuriant filtrus.
Griežtai laikytis kontrolės.
Atvirkštinis adresavimas
- O Web serveriai gali dirbti abiems būdais.
O Paprastai vartotojams leidžiama prisijungti prie svetainės per tinklo prieigą.
Atsakomosios priemonės:
- Kruopščiai patikrinkite interneto serverio konfigūraciją. Būkite atsargūs kurdami URL filtrą vidaus serveriams.
Java dekompiliavimas
- O JAVA Bytecode gali būti efektyviai dekompiliuota.
- O gali atskleisti slaptą informaciją, kaip slaptažodžiai ir kt.
- O taip pat gali būti atskleista logika, pvz, kai parenkami sesijos identifikatoriai.
- O JAVA archyvo failai (.jar) gali tapinti ne tik bytecode, bet ir kitus konfigūracijos failus.
Atsakomosios priemonės:
• Eliminavimas slaptos informacijos per bytecode.
• Nereikalingų failų šalinimas (.jar).
- Pagrindinio kodo atskleidimas
- O Puolantieji gali gauti pagrindinį kodą tam skirta programa.
- O kodas gali būti naudojamas rasti daugiau klaidų ir spragų.
- O atskleidimas gali būti įvykdytas daugeliu būdų.
- O blogas apsaugos dizainas.
- O netinkamos nuostatos arba pardavėjo klaidos.
Atsakomosios priemonės:
Pardavėjas teikia pataisymus.
- Serverio konfigūracijos saugumas. Saugaus kodavimo praktika. Įėjimo patvirtinimas
O tai didžiausia interneto įsilaužimų priežastis.
O visi įėjimai turi būtipatvirtinti.
Atsakomosios priemonės:
Slaptažodžių slaptumas.
Kodavimo praktika ir testavimai.
SQL užklausos apnuodijimas
- O paramatrai iš URL ar įvesties laukų naudojami SQL užklausose.
- O duomenys gali būti pakeisti arba išplėsti SQL užklausose.
Atsakomosios priemonės:
Kruopšti kodo apžvalga.
Eliminavimas nereikalingų duomenų bazės vartotojų, bei jų užklausų.
- Sesijos užgrobimas
- O HTTP iš esmės yra „be pilietybės “(angl. stateless) protokolas.
- O Daugelis interneto programų yra „su pilietybe“ (angl. stateful).
Atsakomosios priemonės:
- Naudoti serverio sesijos ID sekimą. Suderinti susijungimus su laiko juosta. Sunkus iššifravimas.
Buferio užpildymas
- O Greitas ir blogas patikrinimas.
- O Web serverio HTTP užklausos.
- O gali sukelti:
Atsikirtimą nuo paslaugos.
- Nuotolinį komandų vykdymą.
Atsakomosios priemonės:
Pardavėjas teikia pataisymus.
- Pagrindinio kodo įvertinimas.
Buferio testavimas.
Greitai patikrinti per paraiškas.
Naudota literatūra:
http://www.blackhat.com/presentations/bh-asia-02/bh-asia-02-shah.pdf
http://deadliestwebattacks.com/