Um estudo de caso na pirataria de aplicações web
Video: Exemplo de Medição com Pontos de Função em um Estudo de Caso Web
Conteúdo
Neste estudo de caso, Caleb Sima, um especialista em segurança de aplicativo bem conhecido, foi contratado para cortar aplicações web de um cliente. Este exemplo de descobrir um risco de segurança é um bom conto preventivo para ajudar a proteger suas informações privadas.
Video: Construindo Aplicações Web com PHP e MySQL #1
A situação
Mr. Sima foi contratado para executar um teste de penetração de aplicações web para avaliar a segurança de um site financeiro bem conhecido. Equipado com nada mais do que a URL do site principal financeira, o Sr. Sima partiu para encontrar o que outros sites existia para a organização e começou usando o Google para pesquisar possibilidades.
Mr. Sima inicialmente funcionou uma varredura automática contra os principais servidores de descobrir qualquer fruto maduro. Essa verificação forneceu informações sobre a versão de servidor web e outras informações básicas, mas nada que se mostrou útil, sem mais pesquisas. Enquanto o Sr. Sima realizou a digitalização, nem o IDS nem o firewall notado qualquer de sua atividade.
Então o Sr. Sima emitiu uma solicitação para o servidor na página web inicial, que retornou algumas informações interessantes. A aplicação web parecia ser aceitar muitos parâmetros, mas como o Sr. Sima continuou a navegar no site, ele notou que os parâmetros na URL permaneceu o mesmo.
Mr. Sima decidiu suprimir todos os parâmetros dentro do URL para ver quais informações o servidor retornaria quando consultado. O servidor respondeu com uma mensagem de erro descrevendo o tipo de ambiente de aplicação.
Em seguida, o Sr. Sima realizou uma pesquisa no Google sobre o aplicativo que resultou em alguma documentação detalhada. Mr. Sima encontrados artigos e notas técnicas diversas dentro desta informação que lhe mostrou como o aplicativo funcionou eo que padrão arquivos podem existir. Na verdade, o servidor teve vários desses arquivos padrão.
Video: $ teste aplicações web $
Mr. Sima usou essa informação para sondar a aplicação ainda mais. Ele rapidamente descobriu endereços IP internos e quais os serviços que o pedido foi oferecendo. Assim que o Sr. Sima sabia exatamente qual versão o administrador estava correndo, ele queria ver o que mais ele poderia encontrar.
Mr. Sima continuou a manipular a URL do aplicativo, adicionando & caracteres dentro da declaração para controlar o script personalizado. Esta técnica permitiu-lhe captar todos os arquivos de código fonte. Mr. Sima observou alguns nomes interessantes, incluindo VerifyLogin.htm, ApplicationDetail.htm, CreditReport.htm, e ChangePassword.htm.
Então o Sr. Sima tentou ligar para cada arquivo através da emissão de uma URL especialmente formatado para o servidor. O servidor retornou um Usuário não logado mensagem para cada solicitação e afirmou que a conexão deve ser feita a partir da intranet.
O resultado
Mr. Sima sabia onde os arquivos foram localizados e foi capaz de farejar a conexão e determinar que o ApplicationDetail.htm arquivo definir uma seqüência de cookie. Com pouca manipulação da URL, o Sr. Sima bateu o jackpot. Este arquivo retornado informações de clientes e cartões de crédito quando um novo aplicativo cliente estava sendo processado. CreditReport.htm permitiu que o Sr. Sima para ver cliente estado relatório de crédito, informações fraude, recusou-aplicação status e outras informações confidenciais.
Video: Pós-graduação EAD: Desenvolvimento de Aplicações Web
A lição: Hackers podem utilizar muitos tipos de informações para romper aplicações web. Os feitos individuais neste caso de estudo eram menores, mas quando combinados, que resultou em vulnerabilidades graves.
Caleb Sima foi um membro fundador da equipe X-Force na Internet Security Systems e foi o primeiro membro da equipe de testes de penetração. Mr. Sima passou a co-fundar a SPI Dynamics (posteriormente adquirida pela HP) e se tornar seu CTO, assim como diretor do SPI Labs, o grupo de pesquisa e desenvolvimento-segurança de aplicativos dentro da SPI Dynamics.