Indholdsfortegnelse:
Video: Hackers & Painters: Building Responsive Websites 2024
I dette tilfældeundersøgelse var Caleb Sima, en velkendt ansøgningssikkerhedsekspert, engageret til at hacke en klientens webapplikationer. Dette eksempel på at opdage en sikkerhedsrisiko er en god forsigtighedsfortælling for at beskytte dine private oplysninger.
Situationen
Hr. Sima blev ansat til at udføre en penetrationstest for webapplikationer for at vurdere sikkerheden for et velkendt finansielt websted. Udstyret med intet andet end webadressen på det vigtigste finansielle websted, satte hr. Sima ud for at finde ud af, hvilke andre websteder der eksisterede for organisationen og begyndte at bruge Google til at søge efter muligheder.
Hr. Sima forsøgte i første omgang en automatiseret scanning mod de vigtigste servere for at opdage enhver lavhængende frugt. Denne scanning gav oplysninger om webserverversionen og nogle andre grundlæggende oplysninger, men intet der viste sig nyttigt uden yderligere undersøgelser. Mens Mr. Sima udførte scanningen, så var det heller ikke IDS'en eller firewallen, der bemærkede nogen af hans aktiviteter.
Derefter udstedte Mr. Sima en anmodning til serveren på den oprindelige webside, som returnerede nogle interessante oplysninger. Webapplikationen syntes at acceptere mange parametre, men da Mr. Sima fortsatte med at gennemse webstedet, bemærkede han, at parametrene i webadressen forblev det samme.
Hr. Sima besluttede at slette alle parametrene i URL'en for at se, hvilke oplysninger serveren ville returnere, når den blev forespurgt. Serveren reagerede med en fejlmeddelelse, der beskriver typen af applikationsmiljø.
Dernæst udførte Mr. Sima en Google-søgning på applikationen, der resulterede i en detaljeret dokumentation. Mr. Sima fandt flere artikler og tech noter inden for disse oplysninger, der viste ham, hvordan ansøgningen fungerede og hvilke standardfiler der kunne eksistere. Faktisk havde serveren flere af disse standardfiler.
Hr. Sima brugte disse oplysninger til at afprøve applikationen yderligere. Han opdagede hurtigt interne IP-adresser og hvilke tjenester applikationen tilbyder. Så snart Mr. Sima vidste præcis, hvilken version administratoren kørte, ville han se, hvad han ellers kunne finde.
Hr. Sima fortsatte med at manipulere URL'en fra applikationen ved at tilføje & tegn i sætningen for at kontrollere det tilpassede script. Denne teknik tillod ham at indfange alle kildekodefiler. Mr. Sima bemærkede nogle interessante filnavne, herunder VerifyLogin. htm, ApplicationDetail. htm, CreditReport. htm og ChangePassword. htm.
Så forsøgte Mr. Sima at forbinde til hver fil ved at udstede en specielt formateret URL til serveren.Serveren returnerede en bruger, der ikke var logget ind for hver anmodning, og oplyste, at forbindelsen skal foretages fra intranettet.
Resultatet
hr. Sima vidste, hvor filerne var placeret og var i stand til at snuse forbindelsen og bestemme, at ApplicationDetail. htm-fil indstille en cookie-streng. Med lidt manipulation af URL'en ramte Mr. Sima jackpotten. Denne fil returnerede klientoplysninger og kreditkort, da en ny kundeapplikation blev behandlet. CreditReport. htm tillod Mr. Sima at se status for kundekreditrapport, svindelinformation, afvist ansøgningsstatus og andre følsomme oplysninger.
Lektionen: Hackere kan bruge mange typer information til at bryde gennem webapplikationer. De enkelte udnyttelser i denne casestudie var mindre, men i kombination medførte de alvorlige sårbarheder.
Caleb Sima var et chartermedlem i X-Force-teamet hos Internet Security Systems og var det første medlem af penetrationstestteamet. Mr. Sima fortsatte med at samle SPI Dynamics (senere erhvervet af HP) og blive sin CTO, samt direktør for SPI Labs, applikationssikkerhedsforsknings- og udviklingsgruppen inden for SPI Dynamics.
