Orain SQL injekzioaren beste modu bat probatuko dugu. Ea datu-baseak errore-mezuak botatzen jarraitzen duen. Metodo honi "atzerapenaren zain" deitzen zaio eta atzerapena bera honela idazten da: waitfor delay 00:00:01'. Hau gure fitxategitik kopiatu eta nabigatzailearen helbide barran itsatsi dut.
Hau guztia "itsua aldi baterako SQL injekzio" deitzen zaio. Hemen egiten ari garen guztia esatea da: "itxaron 10 segundoko atzerapena". Konturatu bazara, goiko ezkerrean “konektatzen...” idazkia dugu, hau da, zer egiten du gure orrialdeak? Konexioaren zain dago, eta 10 segundoren buruan orri zuzena agertzen da zure monitorean. Teknika hau erabiliz, datu-basearekin harremanetan jartzen gara, galdera batzuk gehiago egiteko aukera eman diezagun, adibidez, erabiltzailea Joe bada, orduan 10 segundo itxaron behar dugu. Garbi dago? Erabiltzailea dbo bada, itxaron 10 segundo ere. Hau SQL injekzio itsuaren metodoa da.
Uste dut garatzaileek ez dutela ahultasun hori konpontzen adabakiak sortzean. Hau SQL injekzio bat da, baina gure IDS programak ere ez du ikusten, aurreko SQL injekzio metodoak bezala.
Saia gaitezen zerbait interesgarriagoa. Kopiatu lerro hau IP helbidearekin eta itsatsi nabigatzailean. Funtzionatu zuen! Gure programako TCP barra gorri bihurtu zen, programak 2 segurtasun mehatxu adierazi zituen.
Bikaina, ea zer gertatu den. XP shell-erako mehatxu bat dugu, eta beste mehatxu bat - SQL injekzio saiakera bat. Guztira, web aplikazioari eraso egiteko bi saiakera nabaritu ziren.
Ados, orain lagundu logikaz. Intrusio-datu pakete bat dugu, non IDS-k XP shell-ean sartutako hainbat intrusiori erantzun diola dio.
Behera mugitzen badugu, HEX kodeen taula ikusiko dugu, eta horren eskuinean xp_cmdshell + &27ping mezua duen bandera bat dago, eta, jakina, hori txarra da.
Ikus dezagun hemen zer gertatu den. Zer egin zuen SQL zerbitzariak?
SQL zerbitzariak esan zuen: "Nire datu-basearen pasahitza izan dezakezu, nire datu-baseko erregistro guztiak lor ditzakezu, baina lagun, ez dut nahi zure komandoak exekutatu ditzazun, hori ez da batere polita"!
Egin behar duguna da ziurtatzea IDSk XP shell-erako mehatxu bat jakinarazi badu ere, mehatxua ez dela aintzat hartzen. SQL Server 2005 edo SQL Server 2008 erabiltzen ari bazara, orduan SQL injekzio saiakera bat hautematen bada, sistema eragilearen komandoen shell-a blokeatuko da, zure lanean jarraitzea eragotziko dizu. Hau oso gogaikarria da. Beraz, zer egin behar dugu? Zerbitzariari oso atsegin handiz galdetzen saiatu beharko zenuke. Hau esan beharko zenuke: "mesedez, aita, har ditzaket galleta hauek"? Hori egiten dudana, serio, zerbitzariari oso adeitsu galdetzen diot! Aukera gehigarriak eskatzen ditut, birkonfigurazioa eskatzen dut eta XP shell ezarpenak aldatzeko eskatzen dut shell-a eskuragarri egon dadin, behar dudalako!
IDS-k hori detektatu duela ikusten dugu; ikusten duzu, dagoeneko 3 mehatxu adierazi dira hemen.
Begiratu hemen: segurtasun-erregistroak lehertu ditugu! Gabonetako zuhaitza dirudi, hainbeste zintzilik dago hemen! 27 segurtasun mehatxu! Aupa mutilak, hacker hau harrapatu dugu, lortu dugu!
Ez gaitu kezkatzen gure datuak lapurtuko dituenik, baina gure "kutxan" sistemako komandoak exekutatu baditu - hau larria da dagoeneko! Telnet ibilbide bat marraztu dezakezu, FTP, nire datuak hartu ditzakezu, polita da, baina ez naiz kezkatzen, ez dut nahi nire “kutxa”-ren shell-a har dezazun.
Benetan lortu nauten gauzei buruz hitz egin nahi dut. Erakundeetan lan egiten dut, urte asko daramatzat haientzat lanean, eta hau esaten dizut nire neskalagunak langabezian nagoela uste duelako. Egiten dudan guztia oholtza gainean egotea eta berriketan jartzea dela uste du, hau ezin da lantzat hartu. Baina nik esaten dut: “ez, poza, aholkularia naiz”! Hori da aldea: nire iritzia esaten dut eta horregatik ordaintzen dut.
Hau esango dut - gu, hacker gisa, maite dugu oskola apurtzea, eta guretzat ez dago munduan "maskola irenstea" baino plazer handiagorik. IDS analistek beren arauak idazten dituztenean, ikusten duzu idazten dituztela shell manipulazioaren aurka babesteko. Baina datuen erauzketa arazoari buruz CIOrekin hitz egiten baduzu, bi aukeratan pentsatzeko eskatuko dizu. Demagun orduko 100 "pieza" egiten dituen aplikazio bat dudala. Zer da niretzat garrantzitsuena: aplikazio honetako datu guztien segurtasuna bermatzea ala “box” shell-aren segurtasuna? Hau galdera serioa da! Zertaz kezkatu behar zara gehiago?
Zure "kutxa" shell hondatuta egoteak ez du zertan esan nahi norbaitek aplikazioen barne funtzionamendurako sarbidea lortu duenik. Bai, litekeena da hori, eta oraindik gertatu ez bada, laster gerta daiteke. Baina kontuan izan segurtasun-produktu asko erasotzaile bat zure sarean zehar mugitzen ari den suposizioan eraikitzen direla. Beraz, komandoen exekuzioari, komandoak ezartzeari erreparatzen diote, eta kontutan izan behar duzu hori gauza serioa dela. Ahultasun hutsalei arreta jartzen diete, guneen arteko scripting oso sinpleei, SQL injekzio oso sinpleei. Berdin zaie mehatxu aurreratuei edo enkriptatutako mezuei, ez zaie axola horrelako gauzak. Esan dezakezu segurtasun produktu guztiak zarata bilatzen ari direla, yap bila dabiltzala, orkatila hozka egiten dizun zerbait geldiarazi nahi dutela. Hona hemen segurtasun-produktuekin aritzean ikasi dudana. Ez duzu segurtasun produkturik erosi behar, ez duzu kamioia alderantziz gidatu beharrik. Teknologia ulertzen duten pertsona konpetenteak eta trebeak behar dituzu. Bai, ene Jainkoa, zehazki jendea! Ez dugu milioika dolar bota nahi gai horiei, baina zuetako askok alor honetan lan egin duzue eta badakizue zuen nagusiak iragarki bat ikusi bezain laster, korrika joaten dela dendara garrasika: "Gauza hau lortu behar dugu! " Baina ez dugu beharrik, gure atzean dagoen nahaspila konpondu behar dugu. Hori izan zen emanaldi honen premisa.
Segurtasun-ingurunea segurtasun-mekanismoak nola funtzionatzen duten ulertzen denbora asko eman dudan zerbait da. Babes-mekanismoak ulertzen dituzunean, babesa saihestea ez da zaila. Adibidez, bere suebakiak babestutako web aplikazio bat daukat. Ezarpen panelaren helbidea kopiatzen dut, nabigatzailearen helbide-barran itsatsi eta ezarpenetara joaten naiz eta cross-site scripting probatzen dut.
Ondorioz, mehatxu bati buruzko suebaki-mezu bat jasotzen dut: blokeatu egin naute.
Hau txarra dela uste dut, ados al zaude? Segurtasun produktu bat aurkitu duzu. Baina zer gertatzen da horrelako zerbait probatzen badut: Joe'+OR+1='1 parametroa sartzen dut
Ikusten duzuenez, funtzionatu zuen. Zuzendu nazazu oker banago, baina ikusi dugu SQL injekzio aplikazioaren suebakia garaitzen. Orain demagun segurtasuna ezartzeko enpresa bat sortu nahi dugula, beraz, gure software-ekoizlearen kapela jarriko dugu. Orain gaiztoa gorpuzten dugu, kapela beltza delako. Aholkulari bat naiz, beraz, gauza bera egin dezaket software fabrikatzaileekin.
Manipulazioa detektatzeko sistema berri bat sortu eta zabaldu nahi dugu, beraz, manipulazioa detektatzeko enpresa bat hasiko dugu. Snort-ek, kode irekiko produktu gisa, ehunka mila mehatxu manipulatzaile sinadura ditu. Etikoki jokatu behar dugu, beraz, ez ditugu beste aplikazio batzuetatik sinadura hauek lapurtuko eta gure sisteman sartuko. Eseri eta denak berridatziko ditugu: aizu, Bob, Tim, Joe, zatoz hona, aztertu azkar 100 sinadura guzti hauek!
Ahultasun-eskaner bat ere sortu behar dugu. Badakizu Nessus, ahuleziak automatikoki bilatzeko programak, 80 mila sinadura eta ahultasunak egiaztatzen dituzten script onak dituela. Berriro etikoki jokatuko dugu eta denak gure programan berridatziko ditugu.
Jendeak galdetzen dit: "Joe, proba hauek guztiak Mod Security, Snort eta antzekoak bezalako kode irekiko softwarea erabiliz egiten dituzu, zenbaterainoko antzekoak dira beste fabrikatzaileen produktuekin?" Nik erantzuten diet: «Ez dute batere antzekorik!». Fabrikatzaileek kode irekiko segurtasun produktuetatik gauzak lapurtzen ez dituztenez, esertzen dira eta beraiek idazten dituzte arau horiek guztiak.
Zure sinadurak eta eraso-kateak kode irekiko produktuak erabili gabe funtzionatzen badituzu, aukera bikaina da zuretzat. Produktu komertzialekin lehiatzeko gai ez bazara, norabide onean mugituz, zure eremuan ospetsu bihurtzen lagunduko dizun kontzeptu bat aurkitu behar duzu.
Denek dakite edaten dudala. Erakuts dezadan zergatik edaten dudan. Zure bizitzan iturburu-kodearen auditoria bat egin baduzu, zalantzarik gabe edaten duzu, fidatu nigan, ondoren edaten hasiko zara.
Beraz, gure hizkuntza gogokoena C++ da. Ikus dezagun programa hau - Web Knight, web zerbitzarientzako suebaki aplikazio bat da. Berez salbuespenak ditu. Hau interesgarria da - suebaki hau zabaltzen badut, ez nau Outlook Web Access-etik babestuko.
Zoragarria! Hau da, software-saltzaile askok aplikazio batetik arauak ateratzen dituztelako eta produktuan itsatsi egiten dituztelako ikerketa asko egin gabe. Beraz, web suebakiaren aplikazioa zabaltzen dudanean, web-postari buruzko guztia gaizki egiten dela ikusten dut! Ia web-mailek segurtasuna hausten dutelako lehenespenez. Sistemaren komandoak eta kontsultak LDAP edo beste edozein erabiltzaile datu-base denda zuzenean Interneten exekutatzen dituen web kodea duzu.
Esadazu, zein planetatan izan daiteke segurutzat horrelako zerbait? Pentsa ezazu: Outlook Web Access irekitzen duzu, ctrl +K sakatu, erabiltzaileak bilatu eta hori guztia, Active Directory zuzenean kudeatzen duzu Internetetik, sistemaren komandoak exekutatzen dituzu Linuxen, Squirrel Mail edo Horde edo dena delakoa erabiltzen baduzu. bestela. Ebaluazio horiek guztiak eta beste funtzionalitate seguruak ateratzen ari zara. Hori dela eta, suebaki askok segurtasun-arriskuen zerrendatik kanpo uzten dituzte, saiatu zure software-fabrikatzaileari honi buruz galdetu.
Itzul gaitezen Web Knight aplikaziora. Segurtasun-arau asko lapurtu zituen URL eskanerretik, IP helbide-barruti hauek guztiak aztertzen dituena. Beraz, helbide-barruti hauek guztiak nire produktutik kanpo al daude?
Zuetako batek nahi al ditu helbide hauek zure sarean instalatu? Zure sarea helbide hauetan exekutatzea nahi duzu? Bai, harrigarria da. Ados, joan gaitezen programa honetan behera eta ikus ditzagun suebaki honek egin nahi ez dituen beste gauza batzuk.
"1999" deitzen zaie eta beren web zerbitzaria denboran atzera egitea nahi dute! Zuetako norbait gogoratzen al du zabor hau: /scripts, /iishelp, msads? Agian, pertsona pare batek nostalgiaz gogoratuko du zein dibertigarria zen horrelako gauzak hackeatzea. "Gogoratzen al zara, lagun, nola aspaldi "hil" genituen zerbitzariak, polita zen!"
Orain, salbuespen hauei erreparatuz gero, ikusiko duzu gauza hauek guztiak egin ditzakezula - msads, printers, iisadmpwd - gaur egun inork behar ez dituen gauza horiek guztiak. Zer gertatzen da exekutatu ez dituzun komandoekin?
Hauek dira arp, at, cacls, chkdsk, cipher, cmd, com. Zerrendatzen dituzun heinean, garai zaharretako oroitzapenek gainditzen zaituzte, “lagun, gogoratu zerbitzari hori hartu genuenean, gogoratu garai haiek”?
Baina hona hemen benetan interesgarria dena: inork ikusten al du WMIC edo agian PowerShell hemen? Imajinatu sistema lokalean scriptak exekutatzen dituen aplikazio berri bat duzula, eta hauek script modernoak dira Windows Server 2008 exekutatu nahi duzulako, eta gauza bikaina egingo dut Windows 2000rako diseinatutako arauekin babestuz. Hortaz, saltzaile bat bere web-aplikazioarekin etortzen zaizun hurrengo aldian, galdetu diezazuen: "ai gizona, sartu al dituzu bits admin bezalako gauzak, edo powershell komandoak exekutatzen, egiaztatu dituzu beste gauza guztiak, eguneratuko ditugulako? eta DotNET-en bertsio berria erabili"? Baina gauza horiek guztiak segurtasun-produktu batean egon beharko lirateke lehenespenez!
Hitz egin nahi dizudan hurrengo gauza akats logikoak dira. Goazen 192.168.2.6ra. Hau aurrekoaren aplikazio bera da.
Baliteke zerbait interesgarria nabaritzea orrialdean behera joan eta Jarri gurekin harremanetan estekan klik egiten baduzu.
"Contactar gurekin" fitxaren iturburu-kodea begiratzen baduzu, hau da, denbora guztian egiten dudan pentesting metodoetako bat, lerro hau nabarituko duzu.
Pentsa! Entzuten dut hau ikusi zutenean askok esan zutela: “Uau”! Behin batean sartze-probak egiten ari nintzen, demagun, banku miliardario bati, eta antzeko zerbait nabaritu nuen. Beraz, ez dugu SQL injekziorik edo gune arteko scriptingik behar - oinarriak ditugu, helbide barra hau.
Beraz, gehiegikeriarik gabe, bankuak esan zigun sareko espezialista eta web ikuskatzaile bat zeudela, eta ez zuten inolako iruzkinik egin. Hau da, normaltzat jo zuten testu-fitxategi bat nabigatzaile baten bidez ireki eta irakurtzea.
Hau da, fitxategia fitxategi-sistematik zuzenean irakur dezakezu. Beraien segurtasun taldeko buruak esan zidan: "bai, eskaneretako batek ahultasun hori aurkitu zuen, baina txikitzat jo zuen". Horri erantzun nion, ados, emadazu minutu bat. Filename=../../../../boot.ini idatzi nuen helbide barran eta fitxategi-sistemaren abiarazte fitxategia irakurri ahal izan nuen!
Honi esan zidaten: “ez, ez, ez, hauek ez dira fitxategi kritikoak”! Erantzun nion, baina hau Server 2008 da? Baietz esan zuten, bera dela. Esan dut, baina zerbitzari honek konfigurazio fitxategi bat dauka zerbitzariaren erroko direktorioan, ezta? "Zuzena", erantzuten dute. "Oso", diot, "zer gertatzen da erasotzaile batek hau egiten badu", eta helbide barran filename=web.config idazten dut. Esaten dute, zer, ez al duzu ezer ikusten monitorean?
Esaten dut: zer gertatzen da monitorearen eskuineko botoiarekin klik egiten badut eta Erakutsi orri-iturria aukera hautatzen badut? Eta zer aurkituko dut hemen? "Ezer kritikorik"? Zerbitzariaren administratzailearen pasahitza ikusiko dut!
Eta hemen arazorik ez dagoela diozu?
Baina nire zatirik gogokoena hurrengo hau da. Ez didazu uzten komandoak koadroan exekutatzen, baina web zerbitzariaren administratzailearen pasahitza eta datu-basea lapurtu ditzaket, datu-base osoa begiratu, datu-baseari eta sistemaren hutsegiteei buruzko material guztia kendu eta dena ateratzeko. Hau gaiztoaren kasua da: "ai gizona, gaur egun handia da"!
Ez utzi segurtasun produktuek gaixotu! Ez utzi segurtasun produktuek gaixotu! Bilatu nerd batzuk, eman Star Trek-eko oroigarri hori guztia, piztu interesatu, animatu zurekin geratzera, egunero dutxatzen ez diren kirats aspergarri horiek zure sareak funtzionatzen dutenak baitira. Hauek dira zure segurtasun produktuak behar bezala funtzionatzen lagunduko dizuten pertsonak.
Esadazu, zenbat zarete denbora luzez gela berean egon zaitezke etengabe esaten duen pertsona batekin: “Oh, premiazkoa dut gidoi hau idatzi behar dut!”, eta nor dabil etengabe honekin? Baina zure segurtasun produktuak funtzionatzen duten pertsonak behar dituzu.
Berriro esango dut - segurtasun produktuak ergelak dira, argiek etengabe akatsak egiten dituztelako, etengabe gauza kaskarrak egiten dituztelako, ez baitute segurtasunik ematen. Inoiz ez dut ikusi segurtasun-produktu on bat, bihurkin bat duen pertsona batek behar den lekuan estutu behar ez zuena normaltasun gehiago edo gutxiago funtzionatzeko. Txarra dela esaten duten arau-zerrenda handi bat besterik ez da, hori da dena!
Beraz, zuek hezkuntza, segurtasuna, prestakuntza politeknikoa bezalako gauzak aztertzea nahi dut, segurtasun gaiei buruzko doako lineako ikastaro asko daudelako. Ikasi Python, ikasi Assembly, ikasi web aplikazioen probak.
Hau da benetan zure sarea babesten lagunduko dizuna. Jende adimendunek sareak babesten dituzte, sareko produktuek ez! Itzuli lanera eta esan zure nagusiari aurrekontu gehiago behar duzula jende adimentsuagoentzat, badakit hau krisia dela, baina esan iezaiozu hala ere: jendearentzat diru gehiago behar dugu, trebatzeko. Produktu bat erosten badugu, baina garestia delako erabiltzeko ikastarorik ez badugu erosten, zergatik erosten dugu jendeari nola erabiltzen irakatsiko ez badiogu?
Segurtasun produktuen saltzaile askorentzat lan egin dut, bizitza osoa eman dut produktu horiek inplementatzen, eta nazkatuta nago sareko sarbideen kontrol eta gauza guztiez, produktu txar horiek guztiak instalatu eta exekutatu ditudalako. Behin bezero batengana iritsi nintzen, EAP protokolorako 802.1x estandarra ezarri nahi zuten, beraz, MAC helbideak eta bigarren mailako helbideak zituzten ataka bakoitzeko. Etorri nintzen, gaizki zegoela ikusi nuen, buelta eman eta inprimagailuko botoiak sakatzen hasi nintzen. Badakizu, inprimagailuak sareko ekipoen proba orri bat inprima dezake MAC helbide eta IP helbide guztiekin. Baina ikusi zen inprimagailuak ez duela 802.1x estandarra onartzen, beraz, baztertu egin behar da.
Ondoren, inprimagailua deskonektatu eta nire ordenagailu eramangarriaren MAC helbidea inprimagailuaren MAC helbidera aldatu eta nire ordenagailu eramangarria konektatu nuen, horrela MAC irtenbide garesti hau saihestuz, pentsatu! Beraz, zertarako balio dezake MAC irtenbide honek niretzat pertsona batek edozein ekipamendu inprimagailu edo VoIP telefono gisa pasa badezake?
Beraz, gaur egun, niretzat pentesting denbora ematen dudala nire bezeroak erosi duen segurtasun produktua ulertzen eta ulertzen saiatzen naiz. Gaur egun, sartze-probak egiten ditudan banku guztietan HIPS, NIPS, LUGTHS, MACS eta beste akronimo mordo bat daude, erabat txarto. Baina produktu horiek zer egiten saiatzen diren eta nola egiten saiatzen ari diren asmatzen saiatzen ari naiz. Orduan, babesa emateko zer-nolako metodologia eta logika erabiltzen duten jakiten dudanean, ez da batere zaila egiten hura saihestea.
Utziko dizudan nire produkturik gogokoena MS 1103 deitzen da. HIPS, Host Intrusion Prevention Signature edo ostalariaren intrusioen prebentzio sinadurak "ihinztatzen" duen arakatzailean oinarritutako ustiapena da. Izan ere, HIPS sinadurak saihesteko diseinatuta dago. Ez dut nola funtzionatzen duen erakutsi nahi ez dudalako frogatzeko astirik nahi, baina segurtasun hori saihesteko lan bikaina egiten du eta proba dezazun nahi dut.
Ados mutilak, orain joango naiz.
Iragarki batzuk 🙂
Eskerrik asko gurekin geratzeagatik. Gustuko dituzu gure artikuluak? Eduki interesgarri gehiago ikusi nahi? Lagun iezaguzu eskaera bat eginez edo lagunei gomendatuz, , sarrera-mailako zerbitzarien analogo paregabea, guk zuretzat asmatu duguna: (RAID1 eta RAID10-ekin erabilgarri, 24 nukleoraino eta 40 GB DDR4 arte).
Dell R730xd 2 aldiz merkeagoa Amsterdameko Equinix Tier IV datu-zentroan? Hemen bakarrik Herbehereetan! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - 99 $-tik aurrera! Irakurri buruz
Iturria: www.habr.com