Clienții apelează de obicei la internet pentru a obține informații și pentru a cumpăra produse și servicii. În acest scop, majoritatea organizațiilor au site-uri web. Cele mai multe site - uri web stoca informații valoroase , cum ar fi numere de card de credit, adresa de e - mail și parole, etc . Acest lucru i-a făcut să devină ținte pentru atacatori. Site-urile web deface pot fi folosite și pentru a comunica ideologii religioase sau politice etc.
În acest tutorial, vă vom prezenta tehnici de piratare a serverelor toweb și cum puteți proteja serverele de astfel de atacuri.
În acest tutorial, veți învăța:
- Vulnerabilități ale serverului web
- Tipuri de servere web
- Tipuri de atacuri împotriva serverelor web
- Efectele atacurilor reușite
- Instrumente de atac pentru server web
- Cum se evită atacurile pe serverul Web
- Activitate de piratare: piratează un WebServer
Vulnerabilități ale serverului web
Un server web este un program care stochează fișiere (de obicei pagini web) și le face accesibile prin rețea sau internet . Un server web necesită atât hardware, cât și software. Atacatorii vizează de obicei exploatările din software pentru a obține intrarea autorizată pe server. Să ne uităm la unele dintre vulnerabilitățile comune de care profită atacatorii.
- Setări implicite - Aceste setări precum ID-ul utilizatorului și parolele pot fi ușor ghicite de atacatori. Setările implicite ar putea permite, de asemenea, efectuarea anumitor activități, cum ar fi rularea comenzilor pe server, care pot fi exploatate.
- Configurarea greșită a sistemelor de operare și a rețelelor - anumite configurații, cum ar fi permiterea utilizatorilor să execute comenzi pe server, pot fi periculoase dacă utilizatorul nu are o parolă bună.
- Erori în sistemul de operare și servere web - erorile descoperite în sistemul de operare sau software-ul serverului web pot fi, de asemenea, exploatate pentru a obține acces neautorizat la sistem.
În plus față de vulnerabilitățile serverului web menționate mai sus, următoarele pot duce, de asemenea, la acces neautorizat
- Lipsa politicii și procedurilor de securitate - lipsa unei politici și a unor proceduri de securitate, cum ar fi actualizarea software-ului antivirus, corecția sistemului de operare și software-ul serverului web pot crea găuri de buclă de securitate pentru atacatori.
Tipuri de servere web
Următoarea este o listă a serverelor web comune
- Apache - Acesta este serverul web utilizat în mod obișnuit pe internet. Este multiplataforma, dar este de obicei instalat pe Linux. Majoritatea site-urilor web PHP sunt găzduite pe servere Apache.
- Internet Information Services (IIS) - Este dezvoltat de Microsoft. Funcționează pe Windows și este al doilea server web cel mai utilizat pe internet. Majoritatea site-urilor web asp și aspx sunt găzduite pe servere IIS.
- Apache Tomcat - Majoritatea site-urilor web cu pagini de server Java (JSP) sunt găzduite pe acest tip de server web.
- Alte servere web - Acestea includ serverele Web Novell și serverele IBM Lotus Domino.
Tipuri de atacuri împotriva serverelor web
Atacuri de traversare a directorului - Acest tip de atacuri exploatează erorile de pe serverul web pentru a obține acces neautorizat la fișiere și foldere care nu se află în domeniul public. Odată ce atacatorul a câștigat acces, acesta poate descărca informații sensibile, poate executa comenzi pe server sau poate instala software rău intenționat.
- Atacuri de negare a serviciului - Cu acest tip de atac, serverul web se poate bloca sau poate deveni indisponibil pentru utilizatorii legitimi.
- Hijacking de nume de domeniu - Cu acest tip de atacator, setarea DNS este modificată pentru a indica serverul web al atacatorului. Tot traficul care trebuia trimis către serverul web este redirecționat către cel greșit.
- Sniffing - Datele necriptate trimise prin rețea pot fi interceptate și utilizate pentru a obține acces neautorizat la serverul web.
- Phishing - Cu acest tip de atac, atacul imită site-urile web și direcționează traficul către site-ul fals. Utilizatorii care nu bănuiesc pot fi înșelați să trimită date sensibile, cum ar fi detalii de autentificare, numere de card de credit etc.
- Pharming - Cu acest tip de atac, atacatorul compromite serverele DNS (Domain Name System) sau de pe computerul utilizatorului, astfel încât traficul să fie direcționat către un site rău intenționat.
- Defacement - Cu acest tip de atac, atacatorul înlocuiește site-ul web al organizației cu o pagină diferită care conține numele hackerului, imagini și poate include muzică de fundal și mesaje.
Efectele atacurilor reușite
- Reputația unei organizații poate fi distrusă dacă atacatorul editează conținutul site-ului web și include informații rău intenționate sau linkuri către un site porno
- Serverul web poate fi folosit pentru a instala software rău intenționat pe utilizatorii care accesează site - ul web compromisa . Software-ul rău intenționat descărcat pe computerul vizitatorului poate fi un virus, troian sau software Botnet etc.
- Datele utilizatorilor compromise pot fi utilizate pentru activități frauduloase care pot duce la pierderea afacerii sau procese din partea utilizatorilor care au încredințat informațiile lor organizației
Instrumente de atac pentru server web
Unele dintre instrumentele comune de atac ale serverului web includ;
- Metasploit - acesta este un instrument open source pentru dezvoltarea, testarea și utilizarea codului de exploatare. Poate fi folosit pentru a descoperi vulnerabilitățile în serverele web și pentru a scrie exploit-uri care pot fi utilizate pentru a compromite serverul.
- MPack - acesta este un instrument de exploatare web. A fost scris în PHP și este susținut de MySQL ca motor de baze de date. Odată ce un server web a fost compromis folosind MPack, tot traficul către acesta este redirecționat către site-uri web cu descărcare dăunătoare.
- Zeus - acest instrument poate fi folosit pentru a transforma un computer compromis într-un bot sau zombie. Un bot este un computer compromis care este utilizat pentru a efectua atacuri pe internet. O botnet este o colecție de computere compromise. Rețeaua bot poate fi apoi utilizată într-un atac de respingere a serviciului sau în trimiterea de mesaje spam.
- Neosplit - acest instrument poate fi folosit pentru a instala programe, a șterge programe, a le reproduce etc.
Cum se evită atacurile pe serverul Web
O organizație poate adopta următoarea politică pentru a se proteja împotriva atacurilor serverelor web.
- Gestionarea patch-urilor - aceasta implică instalarea de patch-uri pentru a ajuta la securizarea serverului. Un patch este o actualizare care remediază o eroare în software. Patch-urile pot fi aplicate sistemului de operare și sistemului serverului web.
- Instalarea și configurarea securizată a sistemului de operare
- Instalarea și configurarea securizată a software-ului serverului web
- Sistem de scanare a vulnerabilității - acestea includ instrumente precum Snort, NMap, Scanner Access Now Easy (SANE)
- Firewall-urile pot fi folosite pentru a opri atacurile DoS simple prin blocarea întregului trafic care provine din adresele IP sursă identificate ale atacatorului.
- Software- ul antivirus poate fi utilizat pentru a elimina software-ul rău intenționat de pe server
- Dezactivarea administrării la distanță
- Conturile implicite și conturile neutilizate trebuie eliminate din sistem
- Porturile și setările implicite (cum ar fi FTP la portul 21) ar trebui schimbate în porturi și setări personalizate (port FTP la 5069)
Activitate de piratare: piratează un WebServer
În acest scenariu practic, vom analiza anatomia unui atac de server web. Vom presupune că vizăm www.techpanda.org. Nu vom intra în realitate, deoarece acest lucru este ilegal. Vom folosi domeniul numai în scopuri educaționale.
De ce vom avea nevoie
- O țintă www.techpanda.org
- Motorul de căutare Bing
- Instrumente de injecție SQL
- PHP Shell, vom folosi dk shell http://sourceforge.net/projects/icfdkshell/
Strângerea de informații
Va trebui să obținem adresa IP a țintei noastre și să găsim alte site-uri web care au aceeași adresă IP.
Vom folosi un instrument online pentru a găsi adresa IP a țintei și alte site-uri care partajează adresa IP
- Introduceți adresa URL https://www.yougetsignal.com/tools/web-sites-on-web-server/ în browserul dvs. web
- Introduceți www.techpanda.org ca țintă
- Faceți clic pe butonul Verificare
- Veți obține următoarele rezultate
Pe baza rezultatelor de mai sus, adresa IP a țintei este 69.195.124.112
De asemenea, am aflat că există 403 de domenii pe același server web.
Următorul nostru pas este să scanăm celelalte site-uri web pentru detectarea vulnerabilităților la injecția SQL. Notă: dacă putem găsi un SQL vulnerabil pe țintă, atunci îl vom exploata direct fără a lua în considerare alte site-uri web.
- Introduceți adresa URL www.bing.com în browserul dvs. web. Acest lucru va funcționa numai cu Bing, deci nu utilizați alte motoare de căutare, cum ar fi google sau yahoo
- Introduceți următoarea interogare de căutare
ip: 69.195.124.112 .php? id =
AICI,
- „Ip: 69.195.124.112” limitează căutarea la toate site-urile găzduite pe serverul web cu adresa IP 69.195.124.112
- Căutarea „.php? Id =” pentru variabilele URL GET a folosit parametri pentru instrucțiunile SQL.
Veți obține următoarele rezultate
După cum puteți vedea din rezultatele de mai sus, au fost listate toate site-urile web care utilizează variabile GET ca parametri pentru injecția SQL.
Următorul pas logic ar fi scanarea site-urilor web listate pentru a detecta vulnerabilitățile SQL Injection. Puteți face acest lucru folosind injecția SQL manuală sau puteți utiliza instrumentele enumerate în acest articol despre Injecția SQL.
Încărcarea PHP Shell
Nu vom scana niciunul dintre site-urile listate, deoarece acest lucru este ilegal. Să presupunem că am reușit să ne conectăm la unul dintre ele. Va trebui să încărcați shell-ul PHP pe care l-ați descărcat de pe http://sourceforge.net/projects/icfdkshell/
- Deschideți adresa URL de unde ați încărcat fișierul dk.php.
- Veți obține următoarea fereastră
- Dacă faceți clic pe adresa URL Symlink, veți avea acces la fișierele din domeniul țintă.
După ce aveți acces la fișiere, puteți obține acreditări de conectare la baza de date și puteți face orice doriți, cum ar fi defacement, descărcarea de date, cum ar fi e-mailuri etc.
rezumat
- Serverul web a stocat informații valoroase și este accesibil domeniului public. Acest lucru le face ținte pentru atacatori.
- Serverele web utilizate în mod obișnuit includ Apache și Internet Information Service IIS
- Atacurile împotriva serverelor web profită de erorile și configurarea greșită din sistemul de operare, serverele web și rețelele
- Instrumentele populare de hacking ale serverelor web includ Neosploit, MPack și ZeuS.
- O bună politică de securitate poate reduce șansele de a fi atacat
