10 атак на веб-додатки в дії

В даний час практично всі розроблені та розробляються програми прагнуть стати як можна більш доступними для користувача в мережі інтернет. У мережі розміщуються різні додатки для більш продуктивної роботи і відпочинку, такі як Google Docs, калькулятори, електронні пошти, хмарні сховища, карти, погода, новини і т. д… загалом все, що потрібно для повсякденного життя. Наші смартфони практично марні без доступу до інтернету, так як майже всі мобільні додатки підключаються до хмари, зберігаючи там наші фотографії, логіни і паролі. Навіть більшість домашніх пристроїв постійно підключений до мережі.



Прикладний рівень є найбільш надійним захистом. Проблеми, з якими ми зустрінемося тут, найчастіше покладаються на складні сценарії введення даних користувачем, що робить їх трудноопределимыми за допомогою систем виявлення вторгнень. Цей рівень — найдоступніший ззовні. Для нормального функціонування програми повинен бути доступ через порт 80 (HTTP) або порт 443 (HTTPS).

У схемі нижче веб-додаток повністю доступно ззовні, незважаючи на брандмауери та системи запобігання вторгнень:



У 2014 році SQL ін'єкції були відповідальні за 8,1 відсотка всіх подібних атак. Це робить його третім найбільш використовуваним типом атаки, відразу після малваре і DDoS атак. Також можна поглянути на список інших атак загального застосування, таких як невірна конфігурація безпеки, використання компонентів з вже відомими уразливими місцями і межсайтовым скриптингом (XSS). Кваліфікований атакуючий може легко знайти ці уразливості і використовувати їх без ризику бути виявленим.

Більшість вразливостей були виявлені у власному коді веб-додатків, їх називають уразливими нульового дня. Це все тому, що уразливості є специфічними для кожного додатка і ніколи не були відомі раніше. Найкраща захист проти цих атак — створення безпечних додатків. Розробники повинні бути інформовані про те, як ті чи інші атаки працюють, щоб створювати захист безпосередньо в своїх додатках.

Навчання та інформування розробників про уразливість додатків є основною метою проекту Open Web Application Security Project (OWASP). Організація публікує списки десяти найбільш поширених атак для веб-додатків. Цей список оновлюється кожні три роки та останній раз оновлювався в 2013 році.

Команда IBM X-Force Ethical Hacking використовувала дані звіти, щоб створити добірку з десяти відео, які демонструють ряд атак для кожної категорії зі списку OWASP. Кожне відео включає інформацію про те, як запобігти ці атаки і як використовувати інструменти для тестування схильності додатка до кожного виду атак. Дані відео були спочатку призначені для внутрішнього використання, але потім компанія вирішила надати їх у вільному доступі в мережі Інтернет.

Ми вже досить наговорилися ні про що, давайте перейдемо до самих відео файлів.

10. Неперевірений перехід і редирект

Ця категорія вразливостей використовується в фішингових атак, в яких жертв обманом перенаправляють на шкідливий сайт. Зловмисники можуть маніпулювати URL-мі реального сайту, щоб перенаправити користувача на потрібну сторінку. Ви можете побачити як Джонатан Фітц-Джеральд (Jonathan Fitz-Gerald) демонструє цю атаку на відео нижче:



9. Використання компонентів з вже відомими уразливими місцями

Ця категорія включає в себе різні програми, які продовжують використовувати компоненти навіть після виявлення уразливості в них. Зловмисники з легкістю можуть використовувати уразливості застарілих компонентів на додатки, які їх використовують, так як ці уразливості були вже давно доведено і опубліковані. Будь-який скрипт-кідді можете зробити такий злом.



8. Межсайтовая підробка запиту

Цей тип атаки використовується в поєднанні з соціальними проектами. На відео нижче, Бреннан Brazeau (Brennan Brazeau) демонструє, як зловмисник може вкрасти гроші з банківського рахунку жертви шляхом використання соціальних медіа й фотографії котиків:



7. Відсутність функції контролю рівня доступу

В даному випадку описується ситуація, в якій функціональність більш високого рівня прихована від більш низького або незареєстрованого користувача замість того, щоб робити зміни через контроль доступів. Джон Заккато демонструє атаку, в якій користувач більш низького рівня отримує доступ до інтерфейсу адміністрування веб-додатки:



6. Чутлива експозиція даних

Тут відсутня шифрування даних під час переміщення і в стані спокою. Якщо веб-додатки, які ви використовуєте не правильно захистять конфіденційні дані, такі як кредитні карти або дані автентифікації, зловмисники можуть вкрасти або змінити дані.



5. Неправильна настройка безпеки

В даному відео буде досліджена інша надзвичайно небезпечна категорія дефектів, яка пов'язана з неправильною, неправильною конфігурацією сервера або самого додатка.



4. Незахищені прямі посилання на об'єкт


У цьому відео Фітц-Джеральд продемонструє атаку незахищеною прямого посилання на об'єкт, що дозволяє зловмисникам отримати дані з сервера, маніпулюючи іменами файлів. Ви побачите, як він терпляче завантажує файл, поки не отримає всю базу даних.



3. Міжсайтовий скриптінг

Міжсайтовий скриптінг тип вразливості, що дозволяє зловмисникам вставити JavaScript на сторінках реальних сайтів. Поступаючи таким чином, вони можуть повністю змінити вміст сайту, щоб отримати можливість відправити облікові дані користувача на будь-який інший сервері. Уоррен Мойніхан (Warren Moynihan) продемонструє нам як це може бути досягнуто, нижче:



2. Пошкодження аутентифікації і управління сеансами

Brazeau обговорює недоліки програмування, які дозволяють зловмисникам обійти методи автентифікації, які використовуються програмою:



1. Ін'єкції

Ін'єкції дозволяють атакуючим змінити запит бекенда команди через несанкціонований введення даних користувачем. Мойніхан продемонструє кілька прикладів SQL-ін'єкцій і, найголовніше, покаже як отримати всю таблицю користувача, включаючи паролі.



На цьому все. Спасибі за вашу увагу.

Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.