тактика защиты и нападения на web приложения pdf
Тактика защиты и нападения на Web-приложения.
В электронной книге рассмотрены вопросы обнаружения, исследования, эксплуатации и устранения уязвимостей в программном коде Web-приложений. Описаны наиболее часто встречаемые уязвимости и основные принципы написания защищенного кода. Большое внимание уделено методам защиты баз данных от SQL-инъекций. Приведены различные способы построения безопасной системы авторизации и аутенфикации. Рассмотрен межсайтовый скриптинг (ХSS) с точки зрения построения безопасного кода при создании чатов, форумов, систем доступа к электронной почте через Web-интерфейс и др. Уделено внимание вопросам безопасности и защиты систем при размещении сайта на сервере хостинговой компании.
Компьютерные услуги в Москве и Московской области.
Установка операционных систем.
• Правильно, быстро, надежно и качественно установить и настроить, а также помочь выбрать нужную операционную систему помогут мастера нашего центра.
Установка программного обеспечения.
• Наши специалисты имеют огромный опыт в установке и настройке различного программного обеспечения. Они быстро и качественно установят и настроят любые программы, необходимые Вам для комфортной работы.
• Восстановление информации на жестких дисках. Восстановление удалённых файлов. Восстановление после форматирования. Восстановление данных с флэш носителя.
Удаление компьютерных вирусов.
• Лучше если удалением вирусов займутся специалисты, они установят антивирусную программу, которая в будущим защитит компьютер от проникновения вирусов.
• Все владельцы персональных компьютеров должны помнить: диагностику компьютера стоит проводить регулярно, не дожидаясь, пока техника даст сбой. В этом случае ваш ПК будет служить вам долго.
• Мы оказываем качественные и надежные услуги по ремонту компьютеров самого разного уровня. Возможность выполнения ремонта как в офисе, так и на дому.
Сборка компьютера на заказ.
• Специалисты нашей компании помогут вам организовать сборку компьютера, и переведут ваши пожелания в конкретные совместимые комплектующие.
Установка и настройка рабочих станций.
• Мы предлагаем услуги по установке и настройке рабочих станций в составе сетей любой конфигурации, поможем вам сделать оптимальный выбор оборудования и программного обеспечения.
Установка и настройка серверов.
• Мы предлагаем услуги по установке и настройке серверов в составе сетей любой конфигурации, поможем вам сделать оптимальный выбор оборудования и программного обеспечения.
Установка и настройка оргтехники.
• Установка и настройка оргтехники дома или в офисе. Принтеры, сканеры, МФУ, другая оргтехника – важная составляющая повседневной жизни современного человека и неотъемлемая часть каждого офиса.
• Wi-Fi сеть для дома или в офис – это современное, удобное и эффективное решение для организации Wi-Fi зон для подключения различных устройств, поддерживающих технологию Wi-Fi.
• Чистка компьютера от пыли – это важная операция, которую должен проводить каждый пользователь компьютера.
Книга «Безопасность веб-приложений»
Привет, Хаброжители! Среди огромного количества информации по сетевой и ИТ-безопасности практически не найти книг по безопасности веб-приложений. Познакомьтесь на практике с разведкой, защитой и нападением! Вы изучите методы эффективного исследования и анализа веб-приложений, даже тех, к которым нет прямого доступа, узнаете самые современные хакерские приемы и научитесь защищать собственные разработки.
Атака на внешние сущности XML (XXE)
Атака на внешние сущности XML-документа (XML External Entity, XXE) во многих случаях легко осуществима и приводит к разрушительным последствиям. Уязвимость, благодаря которой она становится возможной, связана с неправильной настройкой анализатора XML в коде приложения.
Вообще-то почти все XXE-уязвимости обнаруживаются, когда конечная точка API принимает данные в формате XML (или подобном ему). Вам может казаться, что конечные точки, принимающие XML, встречаются редко, но к XML-подобным форматам относятся SVG, HTML/DOM, PDF (XFDF) и RTF. Они имеют много общего со спецификацией XML, и в результате многие анализаторы XML также принимают их в качестве входных данных.
Спецификация XML позволяет подключать к документу дополнительные компоненты — так называемые внешние сущности. Если XML-анализатор не проводит соответствующую проверку, он может просто загрузить внешнюю сущность и подключить к содержимому XML-документа и таким образом скомпрометировать файлы в файловой структуре сервера.
Атака на внешние сущности XML часто используется для компрометации файлов от других пользователей или для доступа к таким файлам, как /etc/shadow, где хранятся учетные данные, необходимые для правильной работы Unix-сервера.
Атака напрямую
При прямой XXE-атаке объект XML отправляется на сервер под видом внешней сущности. После его анализа возвращается результат, включающий внешнюю сущность (рис. 12.1).
Представим, что mega-bank.com предоставляет утилиту для создания скриншотов, позволяющую отправлять их непосредственно в службу поддержки.
На стороне клиента эта функциональность выглядит так:
Под «этой функциональностью» подразумевается очень простая вещь: пользователь нажимает кнопку и создает снимок экрана, который отправляется в службу поддержки.
С программной точки зрения это тоже не слишком сложно:
На стороне сервера маршрут с именем screenshot соотносится с запросом из нашего браузера:
Преобразуемый в формат JPG файл XML должен пройти через XML-анализатор. Причем этот анализатор должен соответствовать спецификации XML.
Наш клиент отправляет на сервер обычный набор кода HTML/DOM, преобразованный в формат XML для облегчения процесса анализа. При обычной работе мало шансов, что этот код когда-либо будет представлять какую-либо опасность.
Но отправленные клиентом данные DOM может изменить технически подкованный пользователь. В качестве альтернативы можно просто подделать сетевой запрос и отправить на сервер, например, вот такой код:
После получения такого запроса анализатор сервера проверяет XML и возвращает нам изображение (JPG). Если синтаксический анализатор XML явно не отключает внешние сущности, мы увидим на присланном снимке экрана содержимое текстового файла /etc/passwd.
Непрямая XXE-атака
В случае непрямой XXE-атаки сервер генерирует XML-объект в ответ на присланный запрос. В него включаются параметры, предоставленные пользователем, и потенциально это может привести к включению параметра внешней сущности (рис. 12.2).
Иногда XXE-атаку можно нацелить на конечную точку, напрямую не работающую с отправленным пользователем XML-объектом.
В случае API, принимающего в качестве параметра XML-подобный объект, первым делом имеет смысл проверить его на XXE-уязвимость. Тот факт, что API не принимает в запросах объекты XML, не означает, что там не применяется XML-анализатор.
Представим приложение, которое запрашивает у пользователя только один параметр через конечную точку REST API. Приложение предназначено для синхронизации этого параметра с программным пакетом CRM-системы, которым уже пользуется фирма.
Для своего API программа CRM может ожидать информацию в формате XML. Это означает, что несмотря на заявления о непринятии такого формата, для корректного взаимодействия сервера с программным пакетом CRM присылаемые пользователем данные должны быть преобразованы в объект XML через REST-сервер, а затем отправлены в пакет софта CRM.
Часто эти операции происходят в фоновом режиме, и со стороны сложно определить, что данные в формате XML вообще используются. И так бывает достаточно часто. Так как корпоративное ПО не монолитно, а носит модульный характер, часто бывает так, что API-интерфейсы JSON/REST должны взаимодействовать с API XML/SOAP. Кроме того, одновременно используется как современное, так и унаследованное ПО, в результате чего часто появляются большие дыры в безопасности.
В предыдущем примере присланные нами данные преобразовывались сервером в формат XML перед отправкой в другую программную систему. Но как снаружи понять, что это происходит?
Один из способов — изучение компании, чье веб-приложение вы тестируете. Нужно определить, какие у них есть лицензионные соглашения для крупных предприятий. Иногда такая информация открыта для публики.
Также можно заглянуть на другие сайты этой компании и проверить, представлены ли какие-либо данные через отдельную систему или сторонний URL-адрес. Кроме того, многие старые пакеты корпоративного софта — от CRM до бухгалтерского учета или управления персоналом — имеют ограничения по структуре хранимых данных. Если узнать, данные какого типа ожидаются этими интегрированными программными пакетами, можно будет сделать вывод, что они используются общедоступным API, если он ожидает нехарактерного форматирования данных перед их отправкой.
Итоги
Понять, как осуществляется XXE-атака, и провести ее в большинстве случаев несложно. Эти атаки заслуживают упоминания, потому что они удивительно мощны и могут поставить под угрозу весь веб-сервер, не говоря уже о работающем поверх него веб-приложении.
Атаки XXE возможны благодаря существованию недостаточно защищенного стандарта, который, тем не менее, широко используется в интернете. Предотвратить XXE-атаки на синтаксические анализаторы несложно. Иногда всего одна строка в конфигурации убирает возможность ссылаться на внешние сущности. При этом атаки этого типа всегда следует пробовать против новых приложений, поскольку одна недостающая строка в настройках XML-анализаторе открывает двери перед хакером.
Для Хаброжителей скидка 25% по купону — Безопасность
По факту оплаты бумажной версии книги на e-mail высылается электронная книга.
Безопасность веб-приложений: Какие есть наиболее распространенные способы атак/взлома сайтов?
Написал веб-приложение. По части безопасности там реализован XSS-фильтр и сделано кое-что для предотвращения SQL-инъекций, куки HttpOnly. Интересует вопрос: какие еще существуют распространенные атаки на веб-приложения и, если возможно, что необходимо реализовать для их предотвращения?
Так же будет интересно узнать, как следует настраивать HTTP сервер(в моем случае Apache) для того, чтобы свести к минимуму возможность взлома приложения посредтвом его.
PS: Безусловно, многие взломы/атаки индивидуальны и многое зависит от специфики самого сайта и того, на чем реализовано приложение. Но существуют же и широко распространенные способы, вот про них и речь… Проще говоря, спрашивается о базовом уровне.
PS2: Разумеется, что в сети достаточно информации по этой части. Мне бы просто хотелось помимо улучшения безопастности собственного сайта, помочь и другим людям, собрав актуальную информацию в одном месте. Я уповаю на Хабралюдей, среди которых много таких, кто проверил на собственной шкуре сабж данного вопроса. Ни в каком другом месте в Рунете просто нет такого скопления знаний.
И правильно замечено — уже года 3 вплоть до данного момента большинство WAF почему-то пренебрегает защитой файлов веб-приложения и банально не мониторят их.
код не встроен, т.к. тогда писалось быстро и для себя
и там скорее наоборот php-ids использовался для детекта атак через веб
когда еще не был зареган на хабре, я писал в песочницу пост с вопросом, интересует ли кого подобная система, но инвайта так и не получил, а пост был удален
если это действительно востребовано, я могу достать диплом и вытащить схемки и прочие вкусности, набросать концепт, и выложить код куда-нибудь, но, по-моему, важнее само понимание, чем реализация, которая у меня не так профессиональна, как оригинальный код php-ids, например
Вы просто обязаны прочитать книгу по безопасности web-приложений:
Низамутдинов М.Ф. — Тактика защиты и нападения Web-приложения
Моя настольная книга по безопасности.
НЕ ЗАБЫВАЕМ ДЛЯ ВСЕХ GET/POST
делать htmlspecialchars, strip_tags и htmlentities
То, что выше писали про sql-injection это то, что называется «дыры фреймворка».
Однако, дыр в безопасности может быть масса, большинство из которых, самые незаметные, но при этом самые подлые, это «дыры администрирования» и «дыры конфигурации».
Простой, детский, пример:
Юзер может на твой сервер загружать какие-нибудь файлы (ну, например, картинки, аватарки, прочую фигню)? А чем отличается конфиг директории куда эти файлики загружаются от остальных директорий сервера? Если ничем, то для вас плохие новости: Первый же «малолетний ][аKeP», будет делать с твоим серваком все что заблогорассудится, если загрузит «в качестве аватарки» файл cmd.php следующего содержания:
Еще пример «дыры конфигурации»: Есть ли разделение конфигурации на development и production? Если нет, то плохая новость номер два: Сыпать отладочную информацию на веб-вывод, для разработчиков может удобно, но всему интернету не обязательно знать, что скрипт не смог подсоединиться к mysql-серверу «mysql.mydomain.com» под юзером «pupkin» с паролем «123».
Пример «дыры администрирования»: Твой проект использует shared hosting и на одном физическом серваке с тобой находятся сотни дырявых говносайтов. Никто не будет ломать твой супер-пупер сайт, а просто взломает чей-то бложичек, лежащий от твоего сайта в соседней директории.
Как обезопасить сайт?
Каждый день взламывается туева хуча сайтов. В их число попадают как очень мощные проекты так и не очень мощные. Способов взлома тоже туева хуча — от банальных CSS-инъекций до плясок с бубном. Но если рассказывается о взломе, то, обычно, не выдаются профессиональные секреты. И не всегда ясно как ту или иную брешь залатать.
Внимание, Знатоки, вопрос! Есть ли какие-нибудь ресурсы или книги, в которых доходчиво учат защите сайта? Покидайте ссылок на статьи, сайты, книги. Буду очень признателен.
Тут стоит оговорить какие сайты мы имеем в виду. Всегда стоит вопрос экономической целесообразности тех или иных мер, даже если это государственные сайты, для которых доступность и целостность информации критичны. Не всегда есть смысл приобретать под сайт несколько собственных серверов (хостер специально под вас тоже держать ничего не будет), не всегда OpenBSD подходит для технологии, на которой написан веб-сервис и т.д. Для большинства сайтов достаточно соблюдения элементарных мер безопасности для защиты от школоло и какого-нибудь Битрикса с его проактивной защитой.
Не видел, чтоб от ДДОСа в два клика защищались — для этого нужно совсем не дешевое оборудование и широкий канал. Сайты крупных компаний мгновенно падают и тут начинаются переносы с хостинга на хостинг, подключение оборудования интеграторов по безопасности… а сайты лежат. Если бы все было так просто, как вы пишите, то проблемы ДДОСа не существовало бы — все бы защищались в два клика.
forum.antichat.ru
если там хорошо порыться то там описанны все банальные способы взлома, но даже если вы от всех их защититесь то вас взломают небанально.
Уязвимости есть всегда, нужно сделать так что бы стоймость (не обязательно мерить в деньгах) взлома, не опрадывала целей взлома.
Уровней взлома три:
— физический взлом (украли сервер),
— взлом системы (взломали серверную ОС),
— взлом скриптов.
Насколько, я понимаю интересует 3-уровень. О нём можете почитать в журнале программист №11 (http://procoder.info/index.php/dl/issues/2011-/-/29—lr-11/download)
В принципе достаточно нормальных настроек сервера и жесткой фильтрации по белому списку.
Уязвимости можно условно разделить на уровни на которых они находятся по модели OSI.
1) Уязвимости сетевого стека OS
2) Открытые по ошибке порты (Торчащая наружу БД без авторизации).
3) Уязвимости связанные с работой прикладных протоколов из-за устаревших версий ПО (ssh,ftp)
4) Слабые пароли (Для ssh, ftp, mysql).
5) Уязвимости в веб-приложениях (OWASP TOP 10)
Способов взлома тоже туева хуча — от банальных CSS-инъекций до плясок с бубном.
Есть ли какие-нибудь ресурсы или книги, в которых доходчиво учат защите сайта?
Советую ознакомиться с OWASP Web Application Security Guide Там детально описаны веб уязвимости и способы их проверки. Для каждой отдельной уязвимости и для каждого отдельного типа существуют различные утилиты для проверки.
Начать можно с Nmap для определения открытых портов, затем проверить SQLmap (Описание на GitHub) и далее по списку. После обнаружения конкретных уязвимостей уже можно браться за их устранение. Например использовать функции фильтрации или настроить политику в отношении cookie-файлов.
И не всегда ясно как ту или иную брешь залатать.
Книга “тактика защиты и нападения на веб приложения”
Вышла из печати книга “тактика защиты и нападения на веб приложения” (автор Низамутдинов М., также известный как Phoenix), посвященная информационной безопасности веб приложений.
Информация, изложенная в книге, покажется любопытной не только начинающим веб-программистам, но и специалистам в этой области.
Вопрос безопасности веб-приложений не может решаться без детального анализа действий атакующего лица. Не зная тактики нападающего, мы рискуем быть побежденными. Идеей является не призыв к атаке, а умение использовать ее в защите. Исходя из этих соображений, цель книги помочь вам рассмотреть вопросы безопасности веб-приложений как с точки зрения защищающегося, так и атакующего. Достойно защищать системы мы научимся только тогда, когда узнаем «врага» в лицо, именно поэтому на каждую описанную в книге проблему дан взгляд с обеих сторон.
Книга содержит практические и теоретические рекомендации к построению защищенных веб приложений, безопасному программированию в условиях «враждебной» среды – интернета. Каждая проблема рассмотрена в книге с двух сторон, с точки зрения нападающего и с точки зрения защитника. В книге приведена масса вариантов защиты и руководств по обхождению этой защиты.
В книге описаны методы обнаружения, эксплуатирования и защиты от таких уязвимостей, как SQL инъекция, инъекция исходного кода PHP, обход каталогов при доступе к файлам, XSS, и многие други нетривиальные ситуации.
На прилагаемом диске находится примеры уязвимых веб приложений, атаки на которые описаны в книге, примеры защит и конфигураций. Кроме того, на диске содержатся упражнения – читатель сам может проверить освоение навыков взлома и защиты, попытавшись получить доступ к уязвимой текстовой системе. Таких упражнений несколько разной сложности.