6 Bezpieczeństwo stron WWW 5 minut czytania

Przypadkowe ataki

W sieci pojawiają się informacje o różnego rodzaju atakach na strony internetowe takie jak: SQL Injection, XSS czy bardzo egzotyczne: shell injection, session fixation. Nie ma się co oszukiwać. Znalezienie strony, która jest podatna na wyżej wymienione ataki jest bardzo trudne.

 

Pisząc "ataki na strony", mam na myśli serwisy, które cieszą się dużą popularnością w sieci lub zostały zrobione przez większe firmy z branży IT. Ĺťaden "hacker" przecież nie będzie się bawił w przejęcie kontroli nad jakąś mało znaną stroną domową. Dlatego na celownik brane są "grube ryby", bo:

  • można dowieść brak kompetencji komuś, kto się na tym zna i pisze na swojej stronie czy w ofercie, że jego produkty są "najwyższej" jakości,
  • po udanym "ataku" można zyskać swoje "pięć minut",
  • przy dużym szczęściu taki "atak" może przynieść korzyści materialne (różnego rodzaju oferty przeprowadzenia audytów bezpieczeństwa, współprace itp). Może też się skończyć fatalnie.

W poprzednim wpisie pokazałem, jak niebezpieczne może być niesprawdzanie poprawności otrzymywanych danych. Pozornie prosta czynność, jednak skutki tego mogą być dość kosztowne.

Całkiem niedawno oficjalna strona Cezarego Pazury została "shackowana". Strona zrobiona w 100% we flashu, jak to możliwe? Proste. System administracyjny nie był zabezpieczony. Po wpisaniu /admin pokazywały się aktualności ze strony (aktualnie już jest wprowadzony system autoryzacji). Można było z nimi robić co się chciało.

Sztuczka

Taki dostęp do panelu administracyjnego ciężki do znalezienia nie jest. Wystarczy wpisać po adresie głównym jeden z tych plików lub katalogów (powszechnie znanych jako "domyślne"):

  • /admin
  • /administacja
  • /panel
  • /cms
  • /admin.php
  • /cms.php

Czasem zdarzają się prawdziwe perełki, na przykład, gdy po adresie wpiszemy:

  • /phpmyadmin
  • /sql
  • /myadmin

Możemy dostać dostęp do całej bazy danych. Taki przypadek znalazłem na stronie najlepiej prosperującej polskiej kopalni węglowej: Bogdance. "Niedopatrzenie" szybko zostało poprawione (zmiana w jednej linijce konfiguracji mogła kosztować firmę wypłynięcie danych o prawie wszystkich pracownikach!).

Czasem bywa tak, że pomimo zabezpieczenia części administracyjnej logowaniem wystarczy wykorzystać książkowy przykład z SQL Injection czy XSS!
Do takich "ataków" nie trzeba nawet specjalistycznej wiedzy. Każdy ciekawski może "włamać" się na stronę całkiem przypadkowo.

Jak się bronić przed takimi "atakami"?

  • Część administracyjną przechowywać w oddzielnych katalogach lub plikach, których nazwy są ciężkie do zgadnięcia.
  • Każda część administracyjna powinna mieć system autoryzacji – nawet ten najbardziej prymitywny!



Akceptuję politykę prywatności

Raz w miesiącu e-mail z najlepszymi artykułami

Zdjęcie autora wpisu - Piotr Cichosz

Piotr Cichosz — autor wpisu

Frontend developer. Tworzę zaawansowane systemy webowe w JS. Swoją wiedzę nt. SEO wykorzystuję do rozwijania własnych projektów (z lepszym lub gorszym efektem). Dużo eksperymentuję i staram się określić jak bardzo można nagiąć cierpliwość algorytmów Google (:. Prowadzę teraz bloga technologicznego oraz bloga o Apple

Komentarze 6

author Piotr www 27.03.2007 08:03:41

Na poczatek cytat: "Nie ma się co oszukiwać. Znalezienie strony, która jest podatna na wyżej wymienione ataki jest bardzo trudne."
No wlasnie nie jest takie bardzo trudne zwlaszcza w Polsce, kiedy idea web2.0 to raczeg garaz 2.0, na dowod tego :
http://elearning-20.blogspot.com/2007/01/dziura-w-goldenlinepl.html
http://elearning-20.blogspot.com/2007/01/goldenlinepl-kolejny-bug.html
Zadarzylo mi sie to znalezc w momencie, gdy mialem ochote dodac linki do profilu, nie wiem jak jest w tej chwili, bo nie sprawdzalem ale chyba webdeveloper sie postaral i wprowadzil bbcode

author sLn 22.08.2008 10:28:43

IT - to nie jest Internet Technology, tylko Information Technology
http://pl.wikipedia.org/wiki/Technologia_informacyjna

author Jaro www 23.10.2010 16:25:15

Mam wrażenie że celem większości hakerów jest to by mieli swoje "pięc minut" tak jak piszesz.

Myślą że jak zhackują pentagon to ktoś ich zatrudni jako speca od zabezpieczeń. I pewnie nieraz tak się dzieje...

author Kobieta www 29.10.2010 12:09:20

...ale jest też cła zgraja domorosłych hakerów, dzieciaków, które nie mają co robić i robią to dla jaj, więc w sumie małe przypadkowe strony też są narażone w jakiś sposób.

author Jaro www 23.10.2010 16:25:15

Mam wrażenie że celem większości hakerów jest to by mieli swoje "pięc minut" tak jak piszesz.

Myślą że jak zhackują pentagon to ktoś ich zatrudni jako speca od zabezpieczeń. I pewnie nieraz tak się dzieje...

author Kobieta www 29.10.2010 12:09:20

...ale jest też cła zgraja domorosłych hakerów, dzieciaków, które nie mają co robić i robią to dla jaj, więc w sumie małe przypadkowe strony też są narażone w jakiś sposób.

Dodaj komentarz