Як зламати сервер (веб)
Злом веб-сервера
Веб-сервер - це a комп’ютерна програма або комп’ютер, на якому виконується програма. Це основна функція прийняття HTTP-запитів від клієнтів і доставки веб-сторінки, а потім обслуговування відповідей HTTP. Його також можна визначити як програму віртуальної машини. Цей тип доставки складається з документів HTML або додаткового вмісту, наприклад таблиць стилів і JavaСценарій.
Клієнти зазвичай звертаються до Інтернету, щоб отримати інформацію та купити продукти та послуги. З цією метою більшість організацій мають веб-сайти. Більшість веб-сайтів зберігають цінну інформацію, наприклад номери кредитних карток, адреса електронної пошти та паролі тощо. Це зробило їх мішенями для нападників. Зіпсовані веб-сайти також можуть використовуватися для поширення релігійних чи політичних ідеологій тощо.
У цьому підручнику ми познайомимо вас із технікою злому веб-серверів і тим, як захистити сервери від таких атак.
Як зламати веб-сервер
У цьому практичному сценарії ми розглянемо анатомію атаки на веб-сервер. Будемо вважати, що ми націлюємося www.techpanda.org. Насправді ми не збираємося його зламувати, оскільки це незаконно. Ми будемо використовувати домен лише в освітніх цілях.
Крок 1) Що нам знадобиться
- Ціль www.techpanda.org
- Пошукова система Bing
- Інструменти впровадження SQL
- PHP Shell, ми будемо використовувати dk shell http://sourceforge.net/projects/icfdkshell/
Крок 2) Збір інформації
Нам потрібно буде отримати IP-адресу нашої цілі та знайти інші веб-сайти з такою ж IP-адресою.
Ми використаємо онлайн-інструмент, щоб знайти IP-адресу цілі та інші веб-сайти, які спільно використовують цю IP-адресу
- Введіть URL-адресу https://www.yougetsignal.com/tools/web-sites-on-web-server/ у вашому веб-браузері
- Що натомість? Створіть віртуальну версію себе у www.techpanda.org як ціль
- Натисніть кнопку Перевірити
- Ви отримаєте такі результати
На підставі наведених вище результатів IP-адреса цілі – 69.195.124.112
Ми також виявили, що на одному веб-сервері є 403 домени.
Наступним кроком буде сканування інших веб-сайтів SQL ін'єкційні вразливості. Примітка: якщо ми зможемо знайти вразливий SQL на цільовій платформі, ми використаємо її напряму, не розглядаючи інші веб-сайти.
- Введіть URL-адресу www.bing.com у ваш веб-браузер. Це працюватиме лише з Bing, тому не використовуйте інші пошукові системи, такі як google або yahoo
- Введіть наступний пошуковий запит
ip:69.195.124.112 .php?id=
ТУТ,
- «ip:69.195.124.112» обмежує пошук усіма веб-сайтами, розміщеними на веб-сервері з IP-адресою 69.195.124.112
- “.php?id=” шукає URL-змінні GET, які використовують параметри для операторів SQL.
Ви отримаєте такі результати
Як ви можете бачити з наведених вище результатів, усі веб-сайти, які використовують змінні GET як параметри для SQL-ін’єкції, перераховані.
Наступним логічним кроком буде сканування перерахованих веб-сайтів на наявність уразливостей SQL Injection. Ви можете зробити це за допомогою ручного впровадження SQL або інструментів, перелічених у цій статті SQL-ін'єкція.
Крок 3) Завантаження оболонки PHP
Ми не скануватимемо жоден із перелічених веб-сайтів, оскільки це незаконно. Припустимо, що нам вдалося зайти в один із них. Вам потрібно буде завантажити оболонку PHP, з якої ви завантажили http://sourceforge.net/projects/icfdkshell/
- Відкрийте URL-адресу, куди ви завантажили файл dk.php.
- Ви отримаєте таке вікно
- Натиснувши URL-адресу символічного посилання, ви отримаєте доступ до файлів у цільовому домені.
Отримавши доступ до файлів, ви можете отримати облікові дані для входу в базу даних і робити все, що завгодно, наприклад псувати, завантажувати дані, наприклад електронні листи тощо.
Уразливості веб-сервера
Веб-сервер — це програма, яка зберігає файли (зазвичай веб-сторінки) і робить їх доступними через мережу або Інтернет. Веб-сервер вимагає як апаратного, так і програмного забезпечення. Зловмисники зазвичай націлюються на експлойти в програмному забезпеченні, щоб отримати авторизований доступ до сервера. Давайте розглянемо деякі поширені вразливості, якими користуються зловмисники.
- Налаштування за замовчуванням – Зловмисники можуть легко вгадати такі параметри, як ідентифікатор користувача за замовчуванням і паролі. Параметри за замовчуванням також можуть дозволяти виконувати певні завдання, наприклад запуск команд на сервері, які можна використати.
- Неправильна конфігурація операційних систем і мереж – певна конфігурація, наприклад дозвіл користувачам виконувати команди на сервері, може бути небезпечною, якщо користувач не має надійного пароля.
- Помилки в операційній системі та веб-серверах – виявлені помилки в операційній системі або програмному забезпеченні веб-сервера також можуть бути використані для отримання несанкціонованого доступу до системи.
На додаток до вищезазначених уразливостей веб-сервера, наступне також може призвести до несанкціонованого доступу
- Відсутність політики та процедур безпеки– відсутність політики безпеки та процедур, таких як оновлення антивірусного програмного забезпечення, виправлення операційної системи та програмного забезпечення веб-сервера, може створити прогалини в безпеці для зловмисників.
Типи веб-серверів
Нижче наведено список поширених веб-серверів
- Apache – Це веб-сервер, який зазвичай використовується в Інтернеті. Він кросплатформний, але зазвичай його встановлюють у Linux. більшість PHP веб-сайти розміщені на Apache сервери
- Internet Information Services (IIS) – Він розроблений Microsoft. Він працює далі Windows і є другим найбільш використовуваним веб-сервером в Інтернеті. Більшість веб-сайтів asp і aspx розміщено на Сервери IIS.
- Apache Tomcat - Більшість Java сторінки сервера (JSP) веб-сайти розміщені на цьому типі веб-сервера.
- Інші веб-сервери – До них належать веб-сервер Novell і IBMСервери Lotus Domino.
Типи атак на веб-сервери
Атаки через каталог – Цей тип атак використовує помилки веб-сервера для отримання несанкціонованого доступу до файлів і папок, які не є загальнодоступними. Отримавши доступ, зловмисник може завантажити конфіденційну інформацію, виконати команди на сервері або встановити шкідливе програмне забезпечення.
- Відмова в обслуговуванні атак – При такому типі атаки веб-сервер може вийти з ладу або стати недоступним для законних користувачів.
- Викрадення системи доменних імен – З цим типом зловмисника налаштування DNS змінюються, щоб вказувати на веб-сервер зловмисника. Весь трафік, який мав бути надісланий на веб-сервер, перенаправляється на неправильний.
- Нюхати – Незашифровані дані, надіслані через мережу, можуть бути перехоплені та використані для отримання несанкціонованого доступу до веб-сервера.
- Фішинг – При цьому типі атаки атака видає себе за веб-сайти та спрямовує трафік на підроблений веб-сайт. Нічого не підозрюючих користувачів можуть обманом змусити надати конфіденційні дані, як-от дані для входу, номери кредитних карток тощо.
- Фармінг – За допомогою цього типу атаки зловмисник компрометує сервери системи доменних імен (DNS) або комп’ютер користувача, щоб трафік був спрямований на шкідливий сайт.
- Псування – За допомогою цього типу атаки зловмисник замінює веб-сайт організації іншою сторінкою, яка містить ім’я хакера, зображення та може містити фонову музику та повідомлення.
Наслідки успішних атак
- Репутація організації може бути зіпсована якщо зловмисник редагує вміст веб-сайту та містить шкідливу інформацію або посилання на порносайт
- Для встановлення можна використовувати веб-сервер шкідливе програмне забезпечення на користувачів, які відвідують скомпрометований веб-сайт. Шкідливе програмне забезпечення, завантажене на комп’ютер відвідувача, може бути a вірус, троян або програмне забезпечення ботнету тощо.
- Зламані дані користувача можуть бути використані для шахрайських дій що може призвести до втрати бізнесу або судових позовів з боку користувачів, які довірили свої дані організації
Найкращі інструменти для атак на веб-сервер
Деякі з поширених інструментів атаки на веб-сервер включають:
- Metasploit – це інструмент з відкритим кодом для розробки, тестування та використання коду експлойтів. Його можна використовувати для виявлення вразливостей у веб-серверах і написання експлойтів, які можуть бути використані для компрометації сервера.
- MPack – це інструмент використання веб-сайтів. Він був написаний на PHP і підтримується MySQL як двигун бази даних. Коли веб-сервер було зламано за допомогою MPack, увесь трафік до нього перенаправляється на шкідливі веб-сайти для завантаження.
- Зевс – цей інструмент можна використовувати для перетворення скомпрометованого комп’ютера на бота чи зомбі. Бот — це скомпрометований комп’ютер, який використовується для здійснення атак через Інтернет. Ботнет – це сукупність скомпрометованих комп’ютерів. Потім ботнет можна використовувати для атаки на відмову в обслуговуванні або розсилки спаму.
- Neoрозкол – цей інструмент можна використовувати для встановлення програм, видалення програм, їх копіювання тощо.
Як уникнути атак на веб-сервер
Організація може прийняти наступну політику, щоб захистити себе від атак на веб-сервер.
- Управління патчем– це передбачає встановлення патчів для захисту сервера. Патч — це оновлення, яке виправляє помилку в програмному забезпеченні. Патчі можна наносити на операційна система і система веб-сервера.
- Безпечне встановлення та налаштування операційна система
- Безпечне встановлення та налаштування програмне забезпечення веб-сервера
- Система сканування вразливостей– сюди входять такі інструменти, як Snort, NMap, доступ до сканера тепер простий (SANE)
- Брандмауери можна використовувати для простої зупинки DoS-атаки шляхом блокування всього трафіку, що надходить на ідентифікаційні IP-адреси джерела зловмисника.
- антивірус програмне забезпечення можна використовувати для видалення шкідливого програмного забезпечення на сервері
- Відключення віддаленого адміністрування
- Облікові записи за умовчанням і облікові записи, що не використовуються від системи
- Порти та налаштування за замовчуванням (наприклад, FTP на порту 21) слід змінити на спеціальний порт і налаштування (порт FTP на 5069)
Підсумки
- Веб-сервер зберігають цінну інформацію та є загальнодоступними. Це робить їх мішенями для нападників.
- Веб-сервери, які зазвичай використовуються, включають Apache та IIS Internet Information Service
- Атаки на веб-сервери використовують переваги помилок і неправильної конфігурації в операційній системі, веб-серверах і мережах
- Серед популярних інструментів злому веб-серверів Neosploit, MPack і ZeuS.
- Хороша політика безпеки може зменшити ймовірність атаки