Главная | Обратная связь | Поможем написать вашу работу!
МегаЛекции

Вредоносные программы, сопряженные с Web




Уязвимости, сопряженные с WEB, остаются мертвой зоной многих программ безопасности. Многие приложения не способны анализировать данные, полученные в результате посещения WEB-сайта. Обычно хакеры с помощью JavaScript добавляет код к WEB-странице. Когда ничего неподозревающий пользователь заходит на зараженный сайт, браузером запускается JavaScript, который загружает вредоносный код в машину пользователя. Считается, что 450000 URL указывают на вредоносные сайты. Ниже приведены примеры зараженных WEB-сайтов.

Примеры вредоносных HTML и JavaScript-кодов

 

Слева (А) представлена вредоносная ссылка из iframe, которая при просмотре загружает вредоносный код. Справа (В) показан вариант JavaScript, который выполняет ту же функцию, что и "A", но его более трудно распознать, что создает трудности для сканеров вредоносных кодов на WEB-сайтах. Смотри Not all malware detection is created equal. Ниже представлен исходный текст скрипта для атаки Gumblar (A), в секции (B) представлен текст обработанный вручную, что позволяет понять его назначение - загрузка вредоносного кода с удаленного сайта.

Примеры вредоносных HTML и JavaScript-кодов

Большинство браузеров выявляют наличие JavaScript и запрашивают у пользователя разрешения для их запуска. Новейшие версии, например, фирмы Sophos, умеют также выявлять вредоносные и потенциально опасные скрипты. Проблема в том, что в локальной сети обычно имеется масса пользователей, которые беззаботно загружают самые разные WEB-приложения, нисколько незаботясь о безопасности своей машины и сети в целом. Хотелось бы посмотреть на сетевого администратора, который бы решился заблокировать такую возможность...

Еще несколько лет назад мир был разделен границами стран, городов и компаний. В качестве пограничных застав использовались Firewall и шлюзы, и никакой посторонний трафик не мог войти и выйти, не имея специального разрешения. Сегодня мир стал плоским, а границы стали размыты и уязвимы. Новые приложения, социальные сети (Twitter, Facebook и пр.) и блоги стали новыми источниками уязвимостей.

Службы новостей RSS/ATOM

Примерно 12% клиентов в сети пользуются услугами получения новостей в реальном масштабе времени RSS/ATOM. Большинство этих людей даже не догадываются, каким угрозам подвергают свою машину. Первые вредоносные программы этого типа были разработаны еще в 1995 году. Последними жертвами этого типа атаки стала AOL ICQ.

XSS Scripting

Cross-site scripting (XSS, иногда используется и сокращение CSS) представляет собой уязвимость web-приложений, которая позволяет внедрение вредоносного кода web-пользователями (хакерами) в WEB-страницы, просматриваемые другими пользователями (1996 год). Примеры таких кодов включают в себя HTML-код и скрипт для стороны клиента. Практические программы, реализующие эту уязвимость, могут использоваться хакерами, например, чтобы обойти систему управления доступом. Уязвимости этого типа используются при фишинг-атаках в частности Web 2.0 объектов. Примерами атак этой уязвимости являются червь MySpace XSS и XSS Yahoo. К данной разновидности следует отнести многие уязвимости WEB-сайта YouTube Google. XSS реализуется, когда приложение предполагает определенный тип ввода, а вместо этого хакрер посылает код другого вида, который приложение вынуждено обрабатывать. При этом часто крадется cookie пользователя.

XSS-уязвимости можно разделить на два типа: рефлективные и с запоминанием. В рефлективных не производится запоминания входных данных, за то производится немедленное их отображение. Это могут быть поисковые страницы, где отображаются параметры запроса поиска, страницы уведомления об ошибках, когда отображается URL или имя запрошенной страницы. При этом типе уязвимости вредоносный скрипт поступает к жертве в виде указания на уязвимое WEB-приложение через посредство, например, почты. Скрипт при этом встраивается непосредственно в URL. К уязвимостям с запоминанием относятся все случаи, в которых вредоносный ввод запоминается где-то в WEB-приложении, ожидая, когда пользователь исполнит скрипт. Примеры XSS часто включают в себя сайты, которые допускают WEB-приложениям пользователя передать сообщения или комментарии, позднее читаемые другими пользователями. Схема такой атаки показана на рисунке ниже. Строки кодов, поясняющие методы XSS-атак, можно найти в ссылке, размещенной в начале данной статьи. Там же описаны методы противодействия этому виду атак.

Схема XSS-атаки

Практический пример ("A Pragmatic, Policy-Driven Framework for Protection Against Cross-Site Scripting by Joseph Gugeja and Geraint Price)

 

Ниже на рисунке показаны схемы кражи куки пользователя.

Схемы кражи куки при XSS-атаке

1. Атакер помещает вредоносный код на взломанны WEB-сайт

2. Пользователь посещает это WEB-сайт и предоставляет свое куки

3. WEB-сайт позволяет пользователю авторизоваться

4. Вредоносный код посылает куки пользователя атакеру

SQL Injection

Материалы этой статьи базируются на публикации Митчела Харпера (Mitchel Harper).

Базы данных являются основой многих современных Web приложений, а также файловых систем некоторых ОС. В них хранятся параметры доступа и аутентификации, финансовая информация. Базы данных служат для сохранения предпочтений, счетов, платежей, инвентаризационной информации и многого другого. Базы данных в сочетании с различными скриптами делают Web-сайты комфортными для клиентов.

Но именно атаки типа SQL injection превращают сайты, использующие базы данных, в уязвимые объекты. В 2008 году этот вид атаки стал самым массовым. Смотри www.veracode.com/security/sql-injection.

Поделиться:





Воспользуйтесь поиском по сайту:



©2015 - 2024 megalektsii.ru Все авторские права принадлежат авторам лекционных материалов. Обратная связь с нами...