Innholdsfortegnelse:
Video: Cât de mare este Alphabet ??? 2024
I denne casestudien var Caleb Sima, en velkjent søknadssikkerhetsekspert, engasjert for å hacke en klientens webapplikasjoner. Dette eksempelet på å oppdage en sikkerhetsrisiko er en god advarselshistorie for å beskytte din private informasjon.
Situasjonen
Mr. Sima ble ansatt for å utføre en penetrasjonstest for webapplikasjoner for å vurdere sikkerheten til et velkjent finansielt nettsted. Utstyrt med ingenting mer enn nettadressen til det viktigste økonomiske nettstedet, satte Sima ut for å finne ut hvilke andre nettsteder som eksisterte for organisasjonen og begynte med å bruke Google for å søke etter muligheter.
Mr. Sima kjørte i første omgang en automatisert skanning mot de viktigste serverne for å oppdage lavhengende frukt. Denne skanningen ga informasjon om webserverversjonen og noen annen grunnleggende informasjon, men ingenting som viste seg nyttig uten videre forskning. Mens Mr. Sima utførte skanningen, oppdaget ingen IDS eller brannmuren noe av hans aktivitet.
Da sendte Sima ut en forespørsel til serveren på den første nettsiden, som ga noen interessante opplysninger. Webapplikasjonen syntes å akseptere mange parametere, men da Mr. Sima fortsatte å bla gjennom nettstedet, la han merke til at parametrene i nettadressen forblev det samme.
Mr. Sima bestemte seg for å slette alle parametrene i nettadressen for å se hvilken informasjon serveren ville returnere når den ble spurt. Serveren svarte med en feilmelding som beskriver typen programmiljø.
Neste, utførte Mr. Sima et Google-søk på applikasjonen som resulterte i detaljert dokumentasjon. Mr. Sima fant flere artikler og tekniske notater innenfor denne informasjonen som viste ham hvordan applikasjonen fungerte og hvilke standardfiler som kunne eksistere. Faktisk hadde serveren flere av disse standardfilene.
Mr. Sima brukte denne informasjonen til å sonde programmet videre. Han oppdaget raskt interne IP-adresser og hvilke tjenester søknaden ga. Så snart Mr. Sima visste nøyaktig hvilken versjon administrasjonen kjørte, ville han se hva han kunne finne.
Mr. Sima fortsatte å manipulere nettadressen fra applikasjonen ved å legge til og tegn i setningen for å kontrollere det tilpassede skriptet. Denne teknikken tillot ham å fange opp alle kildekodefiler. Mr. Sima noterte noen interessante filnavn, inkludert VerifyLogin. htm, ApplicationDetail. htm, CreditReport. htm og ChangePassword. htm.
Da forsøkte Mr. Sima å koble til hver fil ved å utstede en spesielt formatert nettadresse til serveren.Serveren returnerte en Bruker ikke logget inn melding for hver forespørsel og uttalt at tilkoblingen må gjøres fra intranettet.
Resultatet
Mr. Sima visste hvor filene var plassert og klarte å snuse forbindelsen og bestemme at ApplicationDetail. htm-fil angi en informasjonskapselstreng. Med liten manipulering av nettadressen, ramte Mr. Sima jackpotten. Denne filen returnerte klientinformasjon og kredittkort når et nytt kundeprogram ble behandlet. CreditReport. htm tillot Mr. Sima å vise status for kundekredittrapport, svindelinformasjon, avslått søknadsstatus og annen sensitiv informasjon.
Leksjonen: Hackere kan bruke mange typer informasjon for å bryte gjennom webapplikasjoner. De enkelte utnyttelsene i denne casestudien var mindre, men da de kom sammen, resulterte de i alvorlige sårbarheter.
Caleb Sima var et chartermedlem i X-Force-teamet på Internet Security Systems og var det første medlemmet av penetrasjonstesten. Mr. Sima fortsatte å samle SPI Dynamics (senere kjøpt av HP) og bli sin CTO, samt direktør for SPI Labs, søknads-sikkerhetsforsknings- og utviklingsgruppen innen SPI Dynamics.
