Více lidí má přístup k internetu než kdykoli předtím. To přimělo mnoho organizací k vývoji webových aplikací, které mohou uživatelé používat online k interakci s organizací. Špatně napsaný kód pro webové aplikace lze zneužít k získání neoprávněného přístupu k citlivým datům a webovým serverům.
V tomto výukovém programu se naučíte hackovat weby a představíme vám techniky hackování webových aplikací a protiopatření, která můžete zavést na ochranu před takovými útoky .
Témata obsažená v tomto kurzu
- Co je to webová aplikace? Co jsou webové hrozby?
- Jak chránit váš web před hackery?
- Triky hackování webových stránek: Hackujte webové stránky online!
Co je to webová aplikace? Co jsou webové hrozby?
Webová aplikace (aka web) je aplikace založená na modelu klient-server. Server poskytuje přístup k databázi a obchodní logiku. Je hostován na webovém serveru. Klientská aplikace běží na klientském webovém prohlížeči. Webové aplikace jsou obvykle psány v jazycích jako Java, C # a VB.Net, PHP, ColdFusion Markup Language atd., Databázové stroje používané ve webových aplikacích zahrnují MySQL, MS SQL Server, PostgreSQL, SQLite atd.
Většina webových aplikací je hostována na veřejných serverech přístupných přes internet. Díky tomu jsou zranitelní vůči útokům kvůli snadné dostupnosti. Následují běžné hrozby webové aplikace.
- SQL Injection - cílem této hrozby může být obejít přihlašovací algoritmy, sabotovat data atd.
- Denial of Service Attacks - cílem této hrozby by mohlo být odepření přístupu legitimních uživatelů ke zdroji
- Cross Site Scripting XSS - cílem této hrozby může být vložení kódu, který lze spustit v prohlížeči na straně klienta.
- Otrava soubory cookie / relace - cílem této hrozby je upravit soubory cookie / data relace útočníkem tak, aby získal neoprávněný přístup.
- Manipulace s formulářem - cílem této hrozby je upravit data formulářů, jako jsou ceny v aplikacích elektronického obchodování, aby útočník mohl získat položky za snížené ceny.
- Vložení kódu - cílem této hrozby je vložení kódu, jako je PHP, Python atd., Který lze spustit na serveru. Kód může instalovat zadní vrátka, odhalit citlivé informace atd.
- Znehodnocení - cílem této hrozby je upravit stránku zobrazenou na webu a přesměrovat všechny požadavky na stránku na jednu stránku, která obsahuje zprávu útočníka.
Jak chránit váš web před hackery?
Organizace může přijmout následující zásady, aby se chránila před útoky webového serveru.
- SQL Injection - sanitace a ověření uživatelských parametrů před jejich odesláním do databáze ke zpracování může pomoci snížit pravděpodobnost, že budou napadeni pomocí SQL Injection. Databázové stroje jako MS SQL Server, MySQL atd. Podporují parametry a připravené příkazy. Jsou mnohem bezpečnější než tradiční příkazy SQL
- Denial of Service Attacks - brány firewall lze použít k zastavení provozu z podezřelé adresy IP, pokud je útokem jednoduchá DoS. Správná konfigurace sítí a systému detekce narušení může také pomoci snížit pravděpodobnost, že útok DoS bude úspěšný.
- Cross Site Scripting - ověřování a dezinfekce záhlaví, parametry předávané prostřednictvím adresy URL, parametry formuláře a skryté hodnoty mohou pomoci snížit útoky XSS.
- Otrava soubory cookie / relace - tomu lze zabránit šifrováním obsahu souborů cookie, časovým omezením souborů cookie a přidružením souborů cookie k adrese IP klienta, která byla použita k jejich vytvoření.
- Temperování formuláře - tomu lze zabránit ověřením a ověřením vstupu uživatele před jeho zpracováním.
- Vložení kódu - tomu lze zabránit zpracováním všech parametrů jako dat, nikoli spustitelného kódu. K implementaci lze použít sanitaci a ověření.
- Defacement - dobrá bezpečnostní politika pro vývoj webových aplikací by měla zajistit, že utěsní běžně používané chyby zabezpečení pro přístup na webový server. Může to být správná konfigurace operačního systému, softwaru webového serveru a osvědčené postupy zabezpečení při vývoji webových aplikací.
Triky hackování webových stránek: Hackujte webové stránky online
V tomto praktickém scénáři hackování této webové stránky se chystáme unést relaci uživatele webové aplikace umístěné na adrese www.techpanda.org. Ke čtení ID relace cookie použijeme skriptování napříč weby a poté jej použijeme k zosobnění relace legitimního uživatele.
Předpokládá se, že útočník má přístup k webové aplikaci a chtěl by unést relace ostatních uživatelů, kteří používají stejnou aplikaci. Cílem tohoto útoku může být získání přístupu správce k webové aplikaci za předpokladu, že přístupový účet útočníka je omezený.
Začínáme
- Otevřete http://www.techpanda.org/
- Z praktických důvodů se důrazně doporučuje získat přístup pomocí SQL Injection. V tomto článku najdete další informace o tom, jak to provést.
- Přihlašovací e-mail je Tato e-mailová adresa je chráněna před spamboty. Abyste ji mohli zobrazit, musíte mít povolený JavaScript., Heslo je Password2010
- Pokud jste se úspěšně přihlásili, získáte následující hlavní panel
- Klikněte na Přidat nový kontakt
- Jako křestní jméno zadejte následující
TADY,
Výše uvedený kód používá JavaScript . Přidá hypertextový odkaz s událostí onclick . Když nic netušící uživatel klikne na odkaz, událost načte ID relace cookie souboru PHP a odešle jej na stránku snatch_sess_id.php společně s ID relace v adrese URL
- Zadejte zbývající podrobnosti, jak je uvedeno níže
- Klikněte na Uložit změny
- Váš řídicí panel bude nyní vypadat jako následující obrazovka
- Protože je kód skriptu napříč weby uložen v databázi, načte se pokaždé, když se uživatelé přihlásí pomocí přístupových práv
- Předpokládejme, že se správce přihlásí a klikne na hypertextový odkaz, který říká Dark
- Získá okno s ID relace zobrazeným v URL
Poznámka : skript mohl odesílat hodnotu na nějaký vzdálený server, kde je uložen PHPSESSID, a pak byl uživatel přesměrován zpět na web, jako by se nic nestalo.
Poznámka : hodnota, kterou získáte, se může lišit od hodnoty v tomto výukovém programu pro hackování webových stránek, ale koncept je stejný
Zosobnění relace pomocí doplňku Firefox a Tamper Data
Vývojový diagram níže ukazuje kroky, které musíte podniknout k dokončení tohoto cvičení.
- Pro tuto část a doplněk Tamper Data budete potřebovat webový prohlížeč Firefox
- Otevřete Firefox a nainstalujte doplněk, jak je znázorněno na následujících diagramech
- Vyhledejte údaje o neoprávněné manipulaci a poté klikněte na instalaci, jak je uvedeno výše
- Klikněte na Přijmout a nainstalovat ...
- Po dokončení instalace klikněte na Restartovat nyní
- Pokud se lišta nabídek ve Firefoxu nezobrazuje, povolte ji
- Klikněte na nabídku nástrojů a vyberte Data neoprávněné manipulace, jak je uvedeno níže
- Zobrazí se následující okno. Poznámka: Pokud systém Windows není prázdný, stiskněte tlačítko Vymazat
- Klikněte na nabídku Start Tamper
- Přepněte zpět na webový prohlížeč Firefox, zadejte http://www.techpanda.org/dashboard.php a stránku načtěte stisknutím klávesy Enter
- Zobrazí se následující vyskakovací okno z Tamper Data
- Vyskakovací okno má tři (3) možnosti. Možnost Tamper umožňuje upravit informace záhlaví HTTP před jejich odesláním na server .
- Klikněte na to
- Zobrazí se následující okno
- Zkopírujte ID relace PHP, které jste zkopírovali z adresy URL útoku, a vložte jej za znaménko rovná se. Vaše hodnota by nyní měla vypadat takto
PHPSESSID = 2DVLTIPP2N8LDBN11B2RA76LM2
- Klikněte na tlačítko OK
- Zobrazí se vyskakovací okno s údaji o neoprávněné manipulaci
- Zrušte zaškrtnutí políčka s výzvou Pokračovat v manipulaci?
- Po dokončení klikněte na tlačítko Odeslat
- Měli byste vidět palubní desku, jak je znázorněno níže
Poznámka : Nepřihlásili jsme se, vydávali jsme se za relaci přihlášení pomocí hodnoty PHPSESSID, kterou jsme načetli pomocí skriptování napříč weby
souhrn
- Webová aplikace je založena na modelu server-klient. Strana klienta používá k přístupu k prostředkům na serveru webový prohlížeč.
- Webové aplikace jsou obvykle přístupné přes internet. Díky tomu jsou zranitelní vůči útokům.
- Mezi hrozby webových aplikací patří SQL Injection, Code Injection, XSS, Defacement, Cookie otrava atd.
- Dobrá bezpečnostní politika při vývoji webových aplikací může pomoci zajistit jejich bezpečnost.