Nú munum við reyna aðra leið til að sprauta SQL. Við skulum sjá hvort gagnagrunnurinn heldur áfram að sleppa villuboðum. Þessi aðferð er kölluð „að bíða eftir seinkun“ og seinkunin sjálf er skrifuð sem hér segir: waitfor delay 00:00:01'. Ég afrita þetta úr skránni okkar og líma það inn í veffangastikuna í vafranum mínum.
Allt er þetta kallað "blind SQL innspýting tímabundið". Allt sem við erum að gera hér er að segja "bíddu með 10 sekúndna seinkun". Ef þú tekur eftir, efst til vinstri höfum við áletrunina "tengja ...", það er, hvað gerir síðan okkar? Það bíður eftir tengingu og eftir 10 sekúndur birtist rétt síða á skjánum þínum. Með þessu bragði biðjum við gagnagrunninn að leyfa okkur að spyrja hann nokkurra spurninga í viðbót, til dæmis ef notandinn er Joe, þá þurfum við að bíða í 10 sekúndur. Það er skýrt? Ef notandinn er dbo, bíddu líka í 10 sekúndur. Þetta er Blind SQL Injection aðferðin.
Ég held að verktaki lagar ekki þennan varnarleysi þegar þeir búa til plástra. Þetta er SQL innspýting, en IDS forritið okkar sér það ekki heldur, eins og fyrri aðferðir við SQL innspýtingu.
Prófum eitthvað meira áhugavert. Afritaðu þessa línu með IP tölunni og límdu hana inn í vafrann. Það virkaði! TCP stikan í forritinu okkar varð rauð, forritið benti á 2 öryggisógnir.
Allt í lagi, við skulum sjá hvað gerðist næst. Við höfum eina ógn við XP skelina og önnur ógn er SQL innspýtingstilraun. Alls voru tvær tilraunir til að ráðast á vefforritið.
Allt í lagi, hjálpaðu mér nú með rökfræðina. Við erum með fiktgagnapakka þar sem IDS segir að hann hafi brugðist við ýmsum XP-skellum.
Ef við förum niður sjáum við töflu yfir HEX kóða, hægra megin við hana er fáni með skilaboðunum xp_cmdshell + &27ping, og augljóslega er þetta slæmt.
Við skulum sjá hvað gerðist hér. Hvað gerði SQL Server?
SQL þjónninn sagði "þú getur fengið gagnagrunnslykilorðið mitt, þú getur fengið allar gagnagrunnsskrárnar mínar, en kallinn minn, ég vil alls ekki að þú keyrir skipanirnar þínar á mig, það er alls ekki flott"!
Það sem við þurfum að gera er að tryggja að jafnvel þótt IDS tilkynni um ógn við XP-skelina, þá sé ógnin hunsuð. Ef þú ert að nota SQL Server 2005 eða SQL Server 2008, ef SQL-innspýtingstilraun finnst, verður skel stýrikerfisins læst, sem kemur í veg fyrir að þú haldir áfram vinnu þinni. Það er mjög pirrandi. Svo hvað eigum við að gera? Þú ættir að reyna að spyrja þjóninn mjög ástúðlega. Ætti ég að segja eitthvað eins og „vinsamlegast, pabbi, má ég fá þessar kökur“? Það er það sem ég geri, í alvöru, ég spyr þjóninn mjög kurteislega! Ég er að biðja um fleiri valkosti, ég er að biðja um endurstillingu og ég er að biðja um að XP skel stillingum verði breytt til að gera skelina aðgengilega því ég þarf hana!
Við sjáum að IDS hefur uppgötvað þetta - þú sérð, 3 hótanir hafa þegar verið skráðar hér.
Sjáðu bara hér - við sprengdum öryggisskrárnar! Það lítur út eins og jólatré, svo margt er hengt hérna! Allt að 27 öryggisógnir! Húrra krakkar, við náðum þessum tölvuþrjóta, við náðum í hann!
Við höfum ekki áhyggjur af því að hann muni stela gögnunum okkar, en ef hann getur framkvæmt kerfisskipanir í "boxinu" okkar - er þetta þegar alvarlegt! Þú getur teiknað Telnet leiðina, FTP, þú getur tekið yfir gögnin mín, það er flott, en ég hef engar áhyggjur af því, ég vil bara ekki að þú takir yfir skelina á "boxinu".
Mig langar að tala um hluti sem komu mér virkilega. Ég vinn fyrir samtök, hef unnið fyrir þau í mörg ár og ég er að segja þér þetta vegna þess að kærastan mín heldur að ég sé atvinnulaus. Hún heldur að ég geri ekki annað en að standa á sviðinu og spjalla, þetta getur ekki talist vinna. En ég segi: „nei, gleði mín, ég er ráðgjafi“! Það er munurinn - ég segi mína skoðun og ég fæ borgað fyrir það.
Leyfðu mér að orða það svona - við sem tölvuþrjótar elskum að brjóta skelina og fyrir okkur er engin meiri ánægja í heiminum en að "gleypa skelinni." Þegar IDS sérfræðingar skrifa reglurnar sínar geturðu séð að þeir skrifa þær á þann hátt sem verndar gegn skeljahökkum. En ef þú talar við CIO um vandamálið við að vinna gögn, mun hann bjóða þér að hugsa um tvo valkosti. Segjum að ég sé með forrit sem gerir 100 "stykki" á klukkustund. Hvað er mikilvægara fyrir mig - að tryggja öryggi allra gagna í þessu forriti eða öryggi "kassa" skelarinnar? Þetta er alvarleg spurning! Hvað ættir þú að hafa meiri áhyggjur af?
Bara vegna þess að þú ert með bilaða „box“ skel þýðir það ekki endilega að einhver hafi fengið aðgang að innri starfsemi forritanna. Já, það er meira en líklegt, og ef það hefur ekki gerst ennþá, gæti það fljótlega. En athugaðu að margar öryggisvörur eru byggðar á þeirri forsendu að árásarmaður reiki um netið þitt. Svo þeir borga eftirtekt til framkvæmd skipana, að innspýting skipana, og þú ættir að hafa í huga að þetta er alvarlegur hlutur. Þeir benda á léttvæga veikleika, mjög einfalda forskriftir milli vefsvæða, mjög einfaldar SQL innspýtingar. Þeim er alveg sama um flóknar ógnir, þeim er sama um dulkóðuð skilaboð, þeim er alveg sama um svoleiðis. Það má segja að allar öryggisvörur séu að leita að hávaða, þær eru að leita að "jappi", þær vilja stoppa eitthvað sem bítur á ökklann. Hér er það sem ég lærði þegar ég fékkst við öryggisvörur. Þú þarft ekki að kaupa öryggisvörur, þú þarft ekki að keyra vörubílinn afturábak. Þú þarft hæft, hæft fólk sem skilur tæknina. Já, guð minn góður, fólk! Við viljum ekki kasta milljónum dollara í þessi vandamál, en mörg ykkar hafa unnið á þessu sviði og vita að um leið og yfirmaður þinn sér auglýsingu hleypur hann út í búð og öskrar „við verðum að ná í þetta!“. En við þurfum þess í rauninni ekki, við verðum bara að laga ruglið sem er að baki. Það var forsendan fyrir þessum gjörningi.
Mikið öryggisumhverfi er eitthvað sem ég eyddi miklum tíma í til að skilja reglurnar um hvernig verndarkerfi virka. Þegar þú hefur skilið verndaraðferðirnar er ekki erfitt að komast framhjá vernd. Til dæmis er ég með vefforrit sem er varið með eigin eldvegg. Ég afrita heimilisfangið á stillingaspjaldinu, lími það inn í veffangastikuna í vafranum og fer í stillingarnar og reyni að beita forskriftum á milli vefsvæða.
Fyrir vikið fæ ég eldveggsskilaboð um ógn - mér var lokað.
Mér finnst það slæmt, ertu sammála? Þú stendur frammi fyrir öryggisvöru. En hvað ef ég reyni eitthvað eins og þetta: set færibreytuna Joe'+OR+1='1 inn í strenginn
Eins og þú sérð virkaði það. Leiðréttu mig ef ég hef rangt fyrir mér, en við höfum séð SQL innspýting vinna bug á eldvegg forritsins. Nú skulum við láta eins og við viljum stofna öryggisfyrirtæki, svo við skulum setja á okkur hatt hugbúnaðarframleiðandans. Nú tökum við illt af því að það er svartur hattur. Ég er ráðgjafi, svo ég get gert þetta með hugbúnaðarframleiðendum.
Við viljum smíða og setja upp nýtt innbrotsskynjunarkerfi, svo við byrjum á herferð til að greina innbrot. Snort, sem opinn uppspretta vara, inniheldur hundruð þúsunda undirskrifta fyrir innrásarógn. Við verðum að bregðast við siðferðilega, svo við munum ekki stela þessum undirskriftum frá öðrum forritum og setja þær inn í kerfið okkar. Við ætlum bara að setjast niður og endurskrifa þær allar - hey Bob, Tim, Joe, komdu hingað og farðu í gegnum allar þessar 100 undirskriftir!
Við þurfum líka að búa til varnarleysisskanni. Þú veist að Nessus, sjálfvirki varnarleysisleitarinn, er með góðar 80 undirskriftir og forskriftir sem athuga með veikleika. Við munum aftur bregðast við siðferðilega og persónulega endurskrifa þær allar í áætluninni okkar.
Fólk spyr mig: "Jói, þú gerir öll þessi próf með opnum hugbúnaði eins og Mod Security, Snort og þess háttar, hversu lík eru þau vörum annarra söluaðila?" Ég svara þeim: „Þeir líkjast alls ekki! Vegna þess að söluaðilar stela ekki efni úr opnum öryggisvörum setjast þeir niður og skrifa allar þessar reglur sjálfir.
Ef þú getur látið þínar eigin undirskriftir og árásarstrengir virka án þess að nota opinn hugbúnað, þá er þetta frábært tækifæri fyrir þig. Ef þú ert ekki fær um að keppa á móti vörum í atvinnuskyni, sem hreyfist í rétta átt, verður þú að finna hugmynd sem mun hjálpa þér að verða þekktur á þínu sviði.
Það vita allir að ég drekk. Leyfðu mér að sýna þér hvers vegna ég drekk. Ef þú hefur einhvern tíma gert frumkóðaúttekt á ævinni muntu örugglega verða fullur, treystu mér, eftir það byrjarðu að drekka.
Svo uppáhalds tungumálið okkar er C++. Við skulum skoða þetta forrit - Web Knight er eldveggsforrit fyrir vefþjóna. Það hefur sjálfgefnar undantekningar. Það er áhugavert - ef ég set þennan eldvegg upp mun hann ekki vernda mig fyrir Outlook Web Access.
Dásamlegt! Það er vegna þess að margir hugbúnaðarframleiðendur eru að draga reglur út úr sumum forritum og setja þær inn í vöru sína án þess að gera fullt af réttar rannsóknum. Svo þegar ég set upp neteldveggsforrit, þá held ég að allt varðandi vefpóst sé gert rangt! Vegna þess að nánast hvaða vefpóstur sem er brýtur í bága við sjálfgefið öryggi. Þú ert með vefkóða sem framkvæmir kerfisskipanir og fyrirspurnir LDAP eða hvaða önnur notendagagnagrunnsverslun sem er beint á vefnum.
Segðu mér, á hvaða plánetu getur slíkt talist öruggt? Hugsaðu aðeins um það: þú opnar Outlook Web Access, ýtir á b ctrl+K, flettir upp notendum og allt það, þú stjórnar Active Directory beint af vefnum, þú framkvæmir kerfisskipanir á Linux ef þú notar "íkornapóst" eða Horde eða hvað sem er. eitthvað annað. Þú ert að draga út allar þessar evals og aðrar tegundir af óöruggum virkni. Þess vegna útiloka margir eldveggir þá frá listanum yfir öryggisógnir, reyndu að spyrja hugbúnaðarframleiðandann þinn um þetta.
Snúum okkur aftur að Web Knight forritinu. Það stal fullt af öryggisreglum úr vefslóðaskanni sem skannar öll þessi IP tölusvið. Og hvað, öll þessi vistfangasvið eru útilokuð frá vörunni minni?
Vill einhver ykkar setja upp þessi vistföng á netinu ykkar? Viltu að netið þitt gangi á þessum netföngum? Já, það er ótrúlegt. Allt í lagi, við skulum fletta niður þetta forrit og skoða aðra hluti sem þessi eldveggur vill ekki gera.
Þeir eru kallaðir "1999" og vilja að vefþjónninn þeirra sé í fortíðinni! Man einhver ykkar eftir þessari vitleysu: /scripts, /iishelp, msads? Kannski muna nokkrir með söknuði hversu gaman það var að hakka svona hluti. „Mundu, maður, hversu langt síðan við „drepum“ netþjóna, það var flott!“.
Nú, ef þú skoðar þessar undantekningar, muntu sjá að þú getur gert alla þessa hluti - msads, prentara, iisadmpwd - allt þetta sem enginn þarf í dag. Hvað með skipanir sem þú mátt ekki framkvæma?
Þetta eru arp, at, cacls, chkdsk, cipher, cmd, com. Þegar þú skráir þær upp, er þér ofviða minningar um gamla daga, "gaur, manstu hvernig við tókum yfir þennan netþjón, manstu þá daga"?
En hér er það sem er mjög áhugavert - sér einhver WMIC hér eða kannski PowerShell? Ímyndaðu þér að þú sért með nýtt forrit sem virkar með því að keyra forskriftir á staðbundnu kerfi, og þetta eru nútíma forskriftir, vegna þess að þú vilt keyra Windows Server 2008, og ég ætla að gera frábært starf við að vernda það með reglum sem eru hannaðar fyrir Windows 2000. Svo að næst þegar söluaðili kemur til þín með vefforritið sitt, spyrðu hann, „hey maður, hefurðu séð fyrir hlutum eins og bita admin, eða keyrir powershell skipanir, hefurðu athugað allt hitt, því við erum að fara að uppfæra og nota nýju útgáfuna af DotNET"? En allir þessir hlutir ættu að vera til staðar í öryggisvörunni sjálfgefið!
Það næsta sem ég vil ræða við þig eru rökréttar rangfærslur. Förum í 192.168.2.6. Þetta er um það bil sama forrit og það fyrra.
Þú gætir tekið eftir einhverju áhugaverðu ef þú flettir niður síðuna og smellir á tengilinn Hafðu samband.
Ef þú skoðar frumkóðann á flipanum „Hafðu samband“, sem er ein af þeim aðferðum sem ég geri alltaf, muntu taka eftir þessari línu.
Hugsa um það! Ég heyri að margir við að sjá þetta segja: "Vá"! Ég gerði einu sinni skarpskyggnipróf fyrir til dæmis milljarðamæringabanka og tók eftir einhverju svipuðu þar. Þannig að við þurfum ekki SQL innspýtingu eða forskriftir á síðuna - við höfum aðalatriðið, þessa veffangastiku.
Svo, án þess að ýkja - bankinn sagði okkur að þeir hefðu bæði - og netsérfræðing og vefeftirlitsmann, og þeir gerðu engar athugasemdir. Það er, þeir töldu eðlilegt að hægt væri að opna textaskrá og lesa í gegnum vafra.
Það er, þú getur bara lesið skrána beint úr skráarkerfinu. Yfirmaður öryggisteymis þeirra sagði mér, „já, einn skannarinn fann þennan varnarleysi, en taldi hann minniháttar. Sem ég svaraði, allt í lagi, gefðu mér mínútu. Ég sló inn filename=../../../../boot.ini í vistfangastikuna og ég gat lesið ræsiskrá skráarkerfisins!
Við þetta sögðu þeir mér: „nei, nei, nei, þetta eru ekki mikilvægar skrár“! Ég svaraði - en það er Server 2008, er það ekki? Þeir sögðu já, það er hann. Ég segi - en þessi þjónn er með stillingarskrá sem er staðsett í rótarskrá þjónsins, ekki satt? „Rétt,“ svara þeir. „Frábært,“ segi ég, „hvað ef árásarmaðurinn gerir þetta,“ og ég skrifa filename=web.config í veffangastikuna. Þeir segja - svo hvað, þú sérð ekkert á skjánum?
Ég segi - hvað ef ég hægrismelli á skjáinn og velji valkostinn "Sýna síðukóða"? Og hvað mun ég finna hér? "Ekkert gagnrýnisvert"? Ég mun sjá lykilorð netþjónsstjóra!
Og þú segir að það sé ekkert vandamál hér?
En uppáhaldshlutinn minn er sá næsti. Þú leyfir mér ekki að keyra skipanir í kassanum, en ég get stolið admin lykilorði og gagnagrunni vefþjónsins, skoðað allan gagnagrunninn, rifið út allt gagnagrunninn og kerfisbilunardótið og gengið í burtu með þetta allt. Þetta er raunin þegar vondi kallinn segir "hey maður, í dag er frábær dagur"!
Ekki láta öryggisvörur verða þinn sjúkdóm! Ekki láta öryggisvörur gera þig veikan! Finndu einhverja nörda, gefðu þeim alla Star Trek-minjagripina, fáðu þá áhuga, hvettu þá til að vera hjá þér, því þessir nördaþefur sem fara ekki í sturtu daglega eru þeir sem láta netkerfin þín virka eins og hér segir! Þetta er fólkið sem mun hjálpa öryggisvörunum þínum að virka rétt.
Segðu mér, hversu mörg ykkar eru fær um að vera í sama herbergi í langan tíma með manneskju sem segir stöðugt: "Ó, ég þarf að prenta þetta handrit brýn!", Og hver er upptekinn við þetta allan tímann? En þú þarft fólk sem lætur öryggisvörur þínar virka.
Til að ítreka þá eru öryggisvörur heimskar vegna þess að ljósin eru alltaf röng, þau eru stöðugt að gera skíta hluti, þau veita bara ekki öryggi. Ég hef aldrei séð góða öryggisvöru sem krefst þess ekki að gaur með skrúfjárn klippi hana þar sem hún þarf til að hún virki nokkurn veginn eðlilega. Þetta er bara risastór listi af reglum sem segja að það sé slæmt, og það er það!
Svo krakkar, ég vil að þið takið eftir menntun, hlutum eins og öryggi, fjöltækni, því það eru mörg ókeypis námskeið á netinu um öryggismál. Lærðu Python, lærðu samsetningu, lærðu prófun á vefforritum.
Hér er það sem raunverulega hjálpar þér að tryggja netið þitt. Snjallt fólk verndar net, netvörur vernda ekki! Farðu aftur í vinnuna og segðu yfirmanninum þínum að þú þurfir meira fjármagn fyrir meira gáfað fólk, ég veit að það er kreppa núna en segðu honum samt að við þurfum meiri peninga fyrir fólk til að mennta það. Ef við kaupum vöru en kaupum ekki námskeið um hvernig á að nota hana vegna þess að hún er dýr, hvers vegna erum við þá að kaupa hana ef við ætlum ekki að kenna fólki hvernig á að nota hana?
Ég hef unnið fyrir fullt af söluaðilum öryggisvara, ég hef eytt næstum öllu lífi mínu í að innleiða þessar vörur og ég er að verða veikur fyrir öllum þessum netaðgangsstýringum og svoleiðis vegna þess að ég hef sett upp og keyrt allar þessar vitleysuvörur. Dag einn fór ég til viðskiptavinar, þeir vildu innleiða 802.1x staðalinn fyrir EAP samskiptareglur, svo þeir höfðu MAC vistföng og aukavistföng fyrir hverja höfn. Ég kom, sá að þetta var slæmt, sneri mér við og fór að ýta á takkana á prentaranum. Þú veist, prentarinn getur prentað prófunarsíðu netbúnaðar með öllum MAC vistföngum og IP tölum. En það kom í ljós að prentarinn styður ekki 802.1x staðalinn, svo það ætti að útiloka það.
Svo tók ég prentarann úr sambandi og breytti MAC-tölu fartölvunnar í MAC-tölu prentarans og tengdi fartölvuna mína og fór þannig framhjá þessari dýru MAC lausn, hugsaðu málið! Svo hvað getur þessi MAC lausn gert fyrir mig ef einstaklingur getur einfaldlega látið hvaða búnað sem er sem prentara eða VoIP síma?
Svo fyrir mig í dag snýst pentesting um að eyða tíma í að reyna að skilja og skilja öryggisvöru sem viðskiptavinur minn hefur keypt. Nú eru allir bankar sem ég geri skarpskyggnipróf hjá með allar þessar HIPS, NIPS, LAUGHS, MACS og fullt af öðrum skammstöfunum sem eru bara sjúga. En ég er að reyna að komast að því hvað þessar vörur eru að reyna að gera og hvernig þær eru að reyna að gera það. Síðan, þegar ég hef fundið út hvaða aðferðafræði og rökfræði þeir nota til að veita vernd, verður það alls ekki erfitt að komast í kringum það.
Uppáhaldsvaran mín, sem ég læt þig hafa, heitir MS 1103. Þetta er vafra-undirstaða hetjudáð sem úðar HIPS, Host Intrusion Prevention Signature eða Host Intrusion Prevention Signatures. Reyndar er því ætlað að fara framhjá HIPS undirskriftum. Ég vil ekki sýna þér hvernig það virkar vegna þess að ég vil ekki gefa mér tíma til að sýna það, en það gerir frábært starf við að fara framhjá þessari vernd og ég vil að þú tileinkar þér hana.
Jæja krakkar, ég er að fara núna.
Nokkrar auglýsingar 🙂
Þakka þér fyrir að vera hjá okkur. Líkar þér við greinarnar okkar? Viltu sjá meira áhugavert efni? Styðjið okkur með því að leggja inn pöntun eða mæla með því við vini, , einstök hliðstæða upphafsþjóna, sem var fundið upp af okkur fyrir þig: (fáanlegt með RAID1 og RAID10, allt að 24 kjarna og allt að 40GB DDR4).
Dell R730xd 2x ódýrari í Equinix Tier IV gagnaveri í Amsterdam? Aðeins hér í Hollandi! Dell R420 - 2x E5-2430 2.2Ghz 6C 128GB DDR3 2x960GB SSD 1Gbps 100TB - frá $99! Lestu um
Heimild: www.habr.com