Na fali ostatnich wydarzeń jakie miały miejsce w kraju czyli ataki na stronę KPRiM w związku z protestami ACTA przyjrzałem się bliżej zagadnieniu zabezpieczania stron internetowych. Natknąłem się na artykuł znajdujący się na stronie firmy zajmującej się projektowaniem stron internetowych . Przede wszystkim pierwsze co Mnie zaskoczyło to różnorodność możliwych technik ataku na stronę internetową. Ciemny charakter w takim przypadku ma multum możliwości zaatakowania strony, chciałbym zwrócić uwagę na jeszcze jedną często stosowaną technikę przez domorosłych i nieudolnych hakerów. Ostatnio miałem możliwość być potencjalną ofiarą takiego ataku jednak zabezpieczenia na serwerze na to nie pozwoliły. Haker atakował aplikacją server side napisaną za pomocą Curl i php. Jak działa taka aplikacja i jaka jest struktura oraz jak się dodatkowo zabezpieczyć budując stronę internetową? Celem ataku była próba dostania się do bazy danych. Agresor podejrzewał istnienie oddzielnego folderu dla phpmyadmina(oprogramowanie do zarządzania bazą danych SQL). W pliku tekstowym co linijka ma zapisane wszelkie możliwe nazwy folderów np:
/pma/index.php /phpmyadmin/index.php /pma-2.4-rc/index.php i tak dalej. Skrypt Curl po prostu przelatuje tą listę od początku do końca pliku, każdy adres dokleja do adresu naszej strony www. Curl pobiera Content w celu analizy, i jeżeli skrypt wyłapie słowo login to zapisuje ten adres bądź wyświetla jako trafienie. I wtedy Nasz agresor wie, że mamy PHP admina dostępnego z poziomu strony. Jest to dosyć częsty przypadek na serwerach współdzielonych lub resselerów. Po otrzymaniu informacji o istnieniu takiego adresu, agresor przystępuje do próby włamania atakiem słownikowym. Technikę taką również można stosować do wszelkiej maści wordpressów wpisując zamiast adresu pma /wp-admin /wp-login i etc i różne kombinacje. Po czym wykonujemy atak słownikowy. Jak się przed tym obronić?? Jeżeli mamy możliwość to koniecznie edycja .httaccess i dopisanie przekierowania po wpisaniu np adresu adresnaszejstrony.pl/pma/index.php skrypt zostanie przekierowany na stronę główną z powrotem. Jeżeli już instalujemy phpadmina to pamiętajmy o zmianie nazwy folderu na inną zamiast /pma dajmy /zdzichujeklopsy. Po takiej zmianie folderu możemy delikatnie wkurzyć agresorka :D tworzymy folder /pma na serwerze i plik index.php będzie to fałszywka. Umieszczamy w pole tekstowe z napisem login i zdjęcie trolla :D mina Naszego agresora powinna być bezcenna jeżeli z ciekawości zajrzy na tą stronę :D Po odkryciu próby ataku należy zabezpieczyć stronę dodatkowo i ustawić ignora na dany IP. To by było na tyle jeżeli chodzi o dodatkowe możliwości zabezpieczenia strony.
Brak komentarzy:
Prześlij komentarz