Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



04.01.2022

Dane klientów HPE przejęte w...

HPE poinformowało, że dane klientów zostały przejęte w wyniku naruszenia dotyczącego jego...
04.01.2022

Bezpieczny dostęp

Citrix rozszerza swoje rozwiązania z zakresu bezpiecznego dostępu.
04.01.2022

Ochrona pracy zdalnej

Fortinet przedstawił spójną koncepcję zabezpieczania środowiska IT w firmach, które...
04.01.2022

Rozwiązania dla Linuxa

Red Hat poinformował o udostępnieniu rozwiązania Red Hat Enterprise Linux 8.5.
04.01.2022

Usługi chmurowe

Strefa lokalna AWS w Polsce
04.01.2022

Nowy laptop należący do serii...

ASUS VivoBook Pro 16X to nowy laptop należący do popularnej serii VivoBook. Przeznaczony...
04.01.2022

Do fizycznej wirtualizacji...

QNAP zaprezentował urządzenie nowej generacji do wirtualizacji sieci – QuCPE-7012 –...
04.01.2022

Dla przemysłu

Transcend prezentuje bezpieczne dyski SSD zgodne ze standardem Opal SSC 2.0. Oba dyski...
04.01.2022

SI w monitoringu

Firma i-PRO, mająca swoje korzenie w Panasonic, wprowadziła do swojej serii S kamery typu...

Modelowe ataki PRZESTĘPCÓW – aplikacje internetowe

Data publikacji: 09-12-2021 Autor: Ireneusz Tarnowski

Aplikacje i technologie internetowe stały się podstawową częścią internetu, przyjmując różne zastosowania i funkcje. Ich wzrost złożoności oraz dynamiczne rozpowszechnienie stanowią wyzwanie w zakresie ochrony przed zagrożeniami. Celem ataków na aplikacje internetowe najczęściej jest uzyskanie korzyści finansowych, zszarganie reputacji czy też kradzież krytycznych lub osobistych informacji.

 

Gdy od działania aplikacji zależy istnienie i wartość firmy, majątek klientów czy nawet funkcjonowanie systemów mających wpływ na zdrowie i życie ludzkie, to bezpieczeństwo tych aplikacji powinno być największym priorytetem. Obecnie wykorzystują spójną automatyzację w cyklu życia aplikacji internetowych, stawiając na ich bezpieczeństwo. Jednak pojawia się nowy, istotny czynnik – złożoność środowiska i interfejsów  pomiędzy systemami informatycznymi. Interfejsy programowania aplikacji (API) otworzyły drogę do szybkiej wymiany informacji, łączenia systemów i automatyzacji procesów, jednak z drugiej strony stwarzają wyzwania dla bezpieczeństwa aplikacji internetowych, gdyż bardzo często zapomina się o tym elemencie aplikacji.

 

> Metody ataków na aplikacje internetowe

 

Ekspozycja aplikacji internetowych w sieci sprawia, że były i będą atakowane. To, co zmienia się z biegiem czasu, to sposób działania przestępców. Poniżej przedstawiono najczęstsze techniki atakowania aplikacji, niektóre znane od lat, inne dopiero niedawno zauważone i przeanalizowane.

 

1. Cross-Site Scripting (XSS)
Jest to najpopularniejsza technika ataków, która występuje w około 40% ataków internetowych. XSS zazwyczaj polega na takim zmanipulowaniu witryny (na poziomie protokołu GET lub POST), by wykonany został arbitralny lub złośliwy skrypt przesłany przez atakującego. Najczęściej dzieje się tak, gdyż witryna nie jest w stanie prawidłowo oczyścić danych wejściowych przesłanych przez użytkownika. Jeśli inny użytkownik załaduje tę złośliwą (zhakowaną) stronę internetową, jego przeglądarka może wykonać ten złośliwy kod, infekując ofiarę. Większość ataków XSS nie jest szczególnie wyrafinowana. Często są one wykonywane przez niedoświadczonych napastników korzystających ze skryptów i narzędzi napisanych przez innych crackerów (tzw. script kiddies).

 

2. Wstrzyknięcie SQL (SQLi)
Drugą najczęściej stosowaną techniką ataków jest wstrzyknięcie zapytań SQL bezpośrednio do aplikacji. Najpopularniejsza forma SQLi występuje, gdy atakujący wprowadza złośliwy kod SQL w dostępnym polu na stronie internetowej, a kod po stronie serwera przesyła go bezpośrednio do bazy danych bez uprzedniego odpowiedniego oczyszczenia. Udany atak SQLi może usunąć lub zmienić wrażliwe dane lub ujawnić je atakującemu.

 

3. Eksploracja systemu dyskowego (Path Traversal)
Ta technika zajmuje trzecie miejsce wśród najpopularniejszych wykorzystywanych w rzeczywistych atakach na aplikacje internetowe. Atakujący próbują uzyskać dostęp do plików lub katalogów poza folderem, w którym uruchomiona jest aplikacja. Wprowadzają różne wzorce ścieżek sieciowych, takich jak ../, by przejść w hierarchii katalogów serwera. Pomyślna zmiana ścieżki sieciowej może umożliwić napastnikom nieautoryzowany dostęp do danych. Bardzo niebezpieczne może być zdobycie uwierzytelniających witryny lub użytkownika plików konfiguracyjnych, baz danych lub innych witryn znajdujących się na tym samym serwerze. Podobnie jak w przypadku XSS i SQLi udane ataki z „przechodzeniem ścieżki” zwykle wynikają z nieodpowiedniego oczyszczenia danych wejściowych i często są łączone z innymi atakami, takimi jak dołączanie plików lokalnych, w celu kradzieży danych lub poświadczeń.

 

4. Dołączanie plików (File Inclusion)
Umożliwienie atakującemu dołączenie pliku to kolejny rodzaj luki w zabezpieczeniach aplikacji sieciowej. Zwykle podatność wykorzystuje błąd w implementacji mechanizmu „dynamicznego dołączania plików” w docelowej aplikacji. Podatność występuje w wyniku użycia bez odpowiedniej weryfikacji danych wprowadzonych przez użytkownika. Rozróżnia się dwa rodzaje podatności dołączania plików – lokalne dołączanie plików (ang. Local File Inclusion – LFI) oraz zdalne dołączanie plików (ang. Remote File Inclusion – RFI).

 

Lokalne dołączanie plików to proces dodawania plików, które są już obecne na serwerze, poprzez wykorzystanie istniejących procedur zaimplementowanych w aplikacji. Ta luka występuje, gdy np. strona otrzymuje jako dane wejściowe ścieżkę do pliku, który ma zostać uwzględniony, a dane wejściowe nie są odpowiednio oczyszczone, co pozwala na wstrzykiwanie znaków przechodzenia przez katalog i podanie nazwy dowolnego pliku w innej niż domyślna lokalizacji. Wykorzystując tę podatność, atakujący może przekazać do przetworzenia aplikacji plik konfiguracyjny czy systemowy i w ten sposób zmienić sposób działania aplikacji lub uzyskać nieuprawniony dostęp do danych.

 

Zdalne dołączanie plików to proces dodawania plików z sieciowej (zdalnej) lokalizacji poprzez wykorzystanie zaimplementowanych w aplikacji, podatnych na taki atak procedur dołączania. Ta luka występuje, gdy np. strona otrzymuje jako dane wejściowe ścieżkę do pliku, który ma zostać uwzględniony, a dane wejściowe nie są odpowiednio oczyszczone, co pozwala na wstrzyknięcie zewnętrznego adresu URL. Podatność ta bardzo często wykorzystywana jest w atakach do stworzenia tzw. zatrutego źródła (wodopoju), gdzie na serwerze umieszcza się złośliwą aplikację, którą pobierają oraz wykonują odwiedzający serwer (korzystający z aplikacji). Drugim powszechnym scenariuszem wykorzystania podatności zdalnego dołączania plików jest całkowite przejęcie serwera poprzez dołączenie pliku, który daje atakującemu możliwość wykonywania poleceń na serwerze. Najczęściej jest to powłoka systemowa dostępna dla atakującego poprzez aplikację internetową, tzw. webshell. Gdy powłoka systemowa na serwerze, kolejnym krokiem w znanych scenariuszach ataku jest eksploracja sieci lokalnej i zdalne wykonanie kodu. W takiej sytuacji drobna na pozór podatność zdalnego dołączania plików może szybko doprowadzić do zainfekowania całej infrastruktury sieciowej.

 

5. Rozproszona odmowa usługi (DDoS) – ataki aplikacyjne
Atak DDoS polega na kierowaniu zapytań sieciowych z wielu źródeł (zwykle są to zainfekowane lub przejęte przez hakerów komputery w botnecie) w celu wyczerpania zasobów obliczeniowych (procesora, pamięci, pasma sieciowego) docelowego serwera WWW. Po takim przeciążeniu aplikacja przestaje być dostępna uprawnionym użytkownikom. Chociaż sam atak DDoS nie zapewnia atakującemu niewłaściwego dostępu do jakichkolwiek zasobów, to obserwowany jest trend polegający na tym, że napastnicy coraz częściej używają DDoS wraz z innymi atakami, aby odwrócić uwagę zautomatyzowanych systemów.

 

Aplikacyjne ataki odmowy dostępu obejmują ataki typu low-and-slow, zalewaniem żądaniami GET/POST lub ataki wymierzone w luki zabezpieczeń serwera WWW lub systemu operacyjnego. Celem tych ataków, składających się z pozornie uzasadnionych i niewinnych żądań, jest awaria serwera WWW. Skalę ataków aplikacyjnych mierzy się w liczbie żądań na sekundę (ang. Request Per Second – RPS). W atakach aplikacyjnych bardzo często wybierana jest ta część aplikacji, która zużywa najwięcej zasobów po stronie serwera aplikacyjnego lub bazy danych. Atakujący najpierw weryfikują, w jaki sposób aplikacja jest optymalizowana. Sprawdzane jest, które części są przechowywane w pamięci podręcznej, a które zawsze pobierane z serwera oraz czy weryfikowany jest czas obsługi zapytania do bazy danych. Na podstawie wyniku analizy atakujący celują w te części aplikacji, które najbardziej obciążą infrastrukturę (opcje ogólnego wyszukiwania w bazie danych czy serię zapytań do nieoptymalizowanych podstron serwisu).

 

[...]

 

Autor jest ekspertem w zakresie analizy i reagowania na cyberzagrożenia. Analizując zagrożenia w cyberprzestrzeni oraz techniki, taktyki i procedury w atakach, ocenia potencjalny wpływ na organizację i opracowuje plany reakcji na pojawiające się ataki i zagrożenia. Miłośnik defensywnego podejścia do cyberbezpieczeństwa.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

prenumerata Numer niedostępny Spis treści

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"