Internetil on rohkem inimesi kui kunagi varem. See on ajendanud paljusid organisatsioone välja töötama veebipõhiseid rakendusi, mida kasutajad saavad veebis organisatsiooniga suhtlemiseks kasutada. Veebirakenduste halvasti kirjutatud koodi saab kasutada tundmatutele andmetele ja veebiserveritele volitamata juurdepääsu saamiseks.
Selles õpetuses saate teada, kuidas veebisaite häkkida, ning tutvustame teile veebirakenduste häkkimistehnikaid ja vastumeetmeid, mida saate selliste rünnakute eest kaitsta .
Selles õpetuses käsitletud teemad
- Mis on veebirakendus? Mis on veebiohud?
- Kuidas kaitsta oma veebisaiti häkkimise eest?
- Veebisaidi häkkimise trikid: häkkige veebisaiti veebis!
Mis on veebirakendus? Mis on veebiohud?
Veebirakendus (teise nimega veebisait) on klient-serveri mudelil põhinev rakendus. Server pakub juurdepääsu andmebaasile ja äriloogikat. Seda hostitakse veebiserveris. Kliendirakendus töötab kliendi veebibrauseris. Veebirakendused on tavaliselt kirjutatud sellistes keeltes nagu Java, C # ja VB.Net, PHP, ColdFusion Markup Language jne. Veebirakendustes kasutatavad andmebaasimootorid hõlmavad MySQL, MS SQL Server, PostgreSQL, SQLite jne.
Enamik veebirakendusi on majutatud Interneti kaudu juurdepääsetavates avalikes serverites. See muudab nad hõlpsa juurdepääsu tõttu rünnakute suhtes haavatavaks. Järgnevad on tavalised veebirakenduste ohud.
- SQL Injection - selle ohu eesmärk võib olla sisselogimisalgoritmidest mööda hiilimine, andmete saboteerimine jne.
- Teenuse keelamise rünnakud - selle ohu eesmärk võib olla keelata seaduslikel kasutajatel juurdepääs ressursile
- Saididevaheline skriptimine XSS - selle ohu eesmärk võib olla koodi sisestamine, mida saab käivitada kliendipoolses brauseris.
- Küpsiste / seansimürgitus - selle ohu eesmärk on muuta ründaja küpsiseid / seansiandmeid volitamata juurdepääsu saamiseks.
- Vormi rikkumine - selle ohu eesmärk on muuta vormiandmeid, näiteks e-kaubanduse rakenduste hindu, nii et ründaja saaks esemeid alandatud hinnaga.
- Koodi sisestamine - selle ohu eesmärk on süstida koodi, näiteks PHP, Python jms, mida saab serveris käivitada. Koodiga saab installida tagauksi, paljastada tundlikku teavet jne.
- Rüvetamine - selle ohu eesmärk on muuta veebisaidil kuvatud lehte ja suunata kõik lehetaotlused ühele lehele, mis sisaldab ründaja sõnumit.
Kuidas kaitsta oma veebisaiti häkkimise eest?
Organisatsioon võib veebiserveri rünnakute eest kaitsmiseks rakendada järgmist poliitikat.
- SQL Injection - kasutajaparameetrite desinfitseerimine ja valideerimine enne andmebaasi töötlemiseks esitamist võib aidata vähendada SQL Injectioni kaudu rünnatud võimalusi. Andmebaasimootorid, näiteks MS SQL Server, MySQL jne, toetavad parameetreid ja koostatud avaldusi. Need on palju turvalisemad kui traditsioonilised SQL-i väited
- Teenuse keelamise rünnakud - tulemüüre saab kasutada liikluse eemaldamiseks kahtlaselt IP-aadressilt, kui rünnak on lihtne DoS. Võrkude ja sissetungituvastussüsteemi nõuetekohane konfigureerimine võib samuti vähendada DoS-rünnaku õnnestumise tõenäosust.
- Saididevaheline skriptimine - päiste, URL-i kaudu edastatud parameetrite, vormiparameetrite ja peidetud väärtuste valideerimine ja desinfitseerimine aitab vähendada XSS-rünnakuid.
- Küpsiste / seansimürgitus - seda saab vältida küpsiste sisu krüptimisega, küpsiste ajastamisega mõne aja möödudes, küpsiste seostamisel nende loomiseks kasutatud kliendi IP-aadressiga.
- Vormi karastamine - seda saab vältida kasutaja sisendi valideerimisega ja kontrollimisega enne selle töötlemist.
- Koodi sisestamine - seda saab vältida, käsitledes kõiki parameetreid pigem andmetena kui käivitatava koodina. Selle rakendamiseks saab kasutada desinfitseerimist ja valideerimist.
- Defacement - hea veebirakenduste arendamise turbepoliitika peaks tagama, et see sulgeb veebiserverile juurdepääsu saamiseks tavaliselt kasutatavad haavatavused. See võib olla operatsioonisüsteemi, veebiserveri tarkvara ja veebirakenduste arendamise parimate turbepraktikate õige konfiguratsioon.
Veebisaidi häkkimise nipid: veebisaidi häkkimine
Selles häkkimise praktilises stsenaariumis kaaperdame veebisaidil www.techpanda.org asuva veebirakenduse kasutaja sessiooni. Kasutame küpsiste seansi id-i lugemiseks saididevahelist skripti ja seejärel kasutame seda seaduslikuks kasutaja seansiks kehastamiseks.
Tehakse eeldus, et ründajal on juurdepääs veebirakendusele ja ta sooviks kaaperdada teiste sama rakendust kasutavate kasutajate seansid. Selle rünnaku eesmärk võib olla administraatori juurdepääsu saamiseks veebirakendusele eeldusel, et ründaja juurdepääsukonto on piiratud.
Alustamine
- Avage http://www.techpanda.org/
- Harjutamise eesmärgil on tungivalt soovitatav pääseda juurde SQL Injectioni abil. Lisateavet selle kohta leiate sellest artiklist.
- Sisselogimise e- posti aadress on See e-posti aadress on spämmirobotite eest kaitstud. Selle vaatamiseks peate lubama JavaScripti., Parool on Password2010
- Kui olete edukalt sisse loginud, saate järgmise juhtpaneeli
- Klõpsake nuppu Lisa uus kontakt
- Sisestage eesnimeks järgmine
SIIN,
Ülaltoodud kood kasutab JavaScripti . See lisab hüperlingi onclicki sündmusega . Kui pahaaimamatu kasutaja lingil klõpsab, otsib sündmus PHP küpsise seansi ID ja saadab selle lehele snatch_sess_id.php koos URL-is oleva seansi ID-ga.
- Sisestage ülejäänud üksikasjad, nagu allpool näidatud
- Klõpsake nuppu Salvesta muudatused
- Teie armatuurlaud näeb nüüd välja nagu järgmine ekraan
- Kuna saididevaheline skripti kood on andmebaasi salvestatud, laaditakse see iga kord, kui kasutajad, kellel on juurdepääsuõigused, logivad sisse
- Oletame, et administraator logib sisse ja klikib hüperlingil, mis ütleb Dark
- Ta saab akna, mille URL-is kuvatakse seansi ID
Märkus : skript võib saata väärtuse mõnele kaugserverile, kuhu on salvestatud PHPSESSID, ja siis suunatakse kasutaja tagasi veebisaidile, nagu poleks midagi juhtunud.
Märkus : saadud väärtus võib erineda selle veebisaidi häkkimise õpetuse väärtusest, kuid kontseptsioon on sama
Seansi teisena esinemine Firefoxi ja Tamper Data lisandmooduli abil
Allolev vooskeem näitab samme, mida peate selle harjutuse lõpuleviimiseks tegema.
- Selle jaotise jaoks on vaja Firefoxi veebibrauserit ja Tamper Data lisandmoodulit
- Avage Firefox ja installige lisa, nagu on näidatud allpool toodud skeemidel
- Otsige võltsimisandmeid, seejärel klõpsake installimisel, nagu eespool näidatud
- Klõpsake valikul Nõustu ja installige ...
- Kui installimine on lõpule jõudnud, klõpsake käsku Taaskäivita kohe
- Kui seda ei kuvata, lubage Firefoxis menüüriba
- Klõpsake menüüd tööriistad, seejärel valige võltsimisandmed, nagu allpool näidatud
- Saate järgmise akna. Märkus. Kui Windows pole tühi, klõpsake nuppu Kustuta
- Klõpsake menüüd Start Tamper
- Lülitage uuesti Firefoxi veebibrauserisse, tippige http://www.techpanda.org/dashboard.php ja vajutage lehe laadimiseks sisestusklahvi
- Tamper Data'ilt saate järgmise hüpikakna
- Hüpikaknal on kolm (3) valikut. Valik Tamper võimaldab teil muuta HTTP-päise teavet enne selle serverisse saatmist .
- Klõpsake seda
- Saate järgmise akna
- Kopeerige rünnaku URL-ist kopeeritud PHP seansi ID ja kleepige see võrdusmärgi järele. Teie väärtus peaks nüüd selline välja nägema
PHPSESSID = 2DVLTIPP2N8LDBN11B2RA76LM2
- Klõpsake nuppu OK
- Teile avatakse uuesti Tamperi andmete hüpikaken
- Tühjendage märkeruut, mis palub jätkata rikkumist?
- Kui olete valmis, klõpsake nuppu Esita
- Juhtpaneeli peaksite nägema, nagu allpool näidatud
Märkus : me ei loginud sisse, esinesime sisselogimisseansina PHPSESSID-väärtuse abil, mille saime saididevahelise skripti abil
Kokkuvõte
- Veebirakendus põhineb serveri-kliendi mudelil. Kliendipool kasutab serveri ressurssidele juurdepääsemiseks veebibrauserit.
- Veebirakendustele on tavaliselt juurdepääs Interneti kaudu. See muudab nad rünnakute suhtes haavatavaks.
- Veebirakenduse ohtude hulka kuuluvad SQL Injection, Code Injection, XSS, Defacement, küpsiste mürgitamine jne.
- Hea turvapoliitika veebirakenduste väljatöötamisel aitab neid turvaliseks muuta.