reklama
"..."Zarządzanie infrastruktura IT w obecnej chwili pochłania znaczną część budżetu IT. W odpowiedzi na tą sytuację IBM dołącza do serwerów IBM System x® system do zarządzania IBM Systems Director®, który oferuje obszerny zbiór narzędzi ułatwiających administrację. popularne
Najczęściej czytane
- Ukryta wiadomość w logo jednostki do walki z cyberterroryzmem (czytane 5185 razy)
- Nowe narzędzia do łamania GSM (czytane 3608 razy)
- CRASH - system odpornościowy dla sieci (czytane 3560 razy)
- Jeden z deweloperów włamał się do App Store i iTunes (czytane 3508 razy)
- Przynęty na hakerów (czytane 3308 razy)
Biblioteka Wiedzy poleca
Dynamiczna kostka: moc wirtualizacji w olsztyńskim RCI
Niższe rachunki za energię, wysoka wydajność i zwiększona dostępność systemu - to korzyści w obszarze IT jakie Uniwersytet Warmińsko Mazurski uzyskał...
pobierz »
Raport o internetowych zagrożeniach bezpieczeństwa
"Internet Security Threat Report" - kolejna edycja znanego raportu firmy Symantec zawierającego globalny przegląd stanu bezpieczeństwa w Internecie....
pobierz »
Implementing IBM Systems Director 6.1
Poznaj możliwości noweczesnego systemu zarządzającego całą infrastrukturą IT. IBM Systems Director 6.1. jest jedynym na rynku bezpłatnym systemem o...
pobierz »
powiększ tekst 
ARCHIWUM
Sesja w obcych rękach
16 lutego 2010
Marcin Marciniak Podatność na ataki przeciw aplikacjom webowym jest przeważnie wynikiem braku doświadczenia, wyobraźni lub wiedzy programisty czy dewelopera.
Interfejs webowy jest standardem wielu aplikacji biznesowych. Przemawia za nim prostota obsługi, wygoda oraz uniwersalność. Aplikacje webowe mogą być jednak bardzo podatne na różne ataki. Większość z zagrożeń dla aplikacji webowych wynika wprost z luk w bezpieczeństwie spowodowanych złą implementacją standardów, błędem programistów, niedopatrzeniem przy kontroli kodu i innymi podobnymi przyczynami. W teorii, większość błędów powinna być wychwycona przy kontroli kodu, gdyż niektóre z nich można łatwo wykryć. Do usuwania podatności w wielu językach (także w PHP) przewidziano gotowe zestawy instrukcji. Niestety, teoria dość często rozmija się z praktyką.
Atak na aplikacje
Dzisiejsze ataki są w większości kierowane przeciw aplikacjom, rzadziej przeciw samym serwerom lub ich systemom operacyjnym. Najważniejsze z naruszeń bezpieczeństwa, to SQL Injection oraz OS Injection (te dwa ataki stanowią około 80% wszystkich naruszeń bezpieczeństwa aplikacji webowych), LDAP Injection, CLI Injection oraz Cross Site Scripting. Na liście ataków znajduje się także bezpośrednie odwoływanie się do systemu z pominięciem uwierzytelnienia oraz ataki kierowane przeciw serwerom usług i systemom operacyjnym, takie jak przepełnienie bufora. Obecnie jest to raczej niewielki odsetek naruszeń bezpieczeństwa w porównaniu do wszystkich naruszeń aplikacji webowych. Prawdopodobnie dlatego, że SQL Injection przeciw aplikacji można zrealizować stosunkowo prosto, a dzisiejsze serwery i systemy operacyjne są znacznie odporniejsze na ataki niż jeszcze kilka lat temu.
Skutki ataku
Naruszenie bezpieczeństwa aplikacji webowej może skutkować nieautoryzowanym dostępem do informacji. W niektórych przypadkach jest to informacja niejawna, która powinna być dobrze chroniona. Brak zabezpieczeń grozi wyciekiem danych, sankcjami karnymi, problemami przy wymaganych audytach oraz utratą klientów. W polskich realiach to zjawisko także występuje. Wiele instytucji z sektora finansowego doświadcza nieautoryzowanego dostępu do informacji, w tym również tej chronionej tajemnicą bankową, lekarską lub służbową.
Gdzie tkwi błąd?
Najpopularniejsze ataki, czyli SQL Injection, polegają na umieszczeniu komend języka SQL w treści pól przekazywanych jako parametr i umieszczeniu znaków ucieczki w tych polach. Błąd polega najczęściej na nieodpowiednim filtrowaniu danych przesyłanych w postaci zapytań SQL do bazy. Jest to przeważnie błąd wynikający z braku doświadczenia, wyobraźni lub wiedzy programisty czy dewelopera. Na taki atak może być podatna aplikacja napisana w dowolnej technologii (PHP, ASP, JSP, PERL), dynamicznie generująca zapytania do bazy danych. W skrajnym przypadku, w ten sposób można usunąć wszystkie dane z bazy, zmienić je lub pobrać, dokonać zmian w uprawnieniach do aplikacji, a nawet przejąć kontrolę nad podatnym na inne luki systemem operacyjnym.
Kanał błędnej komunikacji
Wykorzystanie błędu SQL Injection w aplikacji webowej może posłużyć do późniejszego przejęcia kontroli nad niedostatecznie zabezpieczonym serwerem bazodanowym. Aby chronić się przed włamaniem tą drogą, należy przeprowadzić operacje hardeningu motoru bazodanowego, na przykład przez wyłączenie obsługi poleceń systemu operacyjnego czy uruchamianie z ograniczonymi uprawnieniami. Hardening powinien objąć także system operacyjny obu serwerów - webowego i bazodanowego. Należy wyłączyć i odinstalować zbędne usługi, usunąć narzędzia deweloperskie, wprowadzić ograniczenia na uruchamianie kodu oraz restrykcyjnie blokować połączenia sieciowe z tej maszyny poza dozwoloną podsieć.
W ubiegłym roku opisywaliśmy na łamach Computerworld dość jaskrawy przykład przejęcia kontroli nad systemem Windows Server zrealizowany jedynie przez wykorzystanie błędu SQL Injection oraz kilku luk w konfiguracji SQL Servera i samego systemu Windows. Atak ten był prezentowany na żywo na październikowej konferencji RSA 2009 w Londynie. Przeprowadzono go przeciw w pełni zaktualizowanej i niemal domyślnej instalacji systemu oraz motoru bazodanowego. Według badaczy prezentujących ten atak, omawiana konfiguracja nadal bywa dość często spotykana w wielu firmach z sektora MSP.
Tekst pochodzi z serwisu Computerworld
wydrukuj
Komentarze
Redakcja securitystandard.pl - bezpieczeństwo IT , aktualnosci, porady, produkty nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego. Osoby zamieszczające wypowiedzi naruszające prawo lub prawem chronione dobra osób trzecich mogą ponieść z tego tytułu odpowiedzialność karną lub cywilną.
Ten artykuł nie ma jeszcze żadnych komentarzy. Twój może być pierwszy...
04-204 Warszawa ul. Jordanowska 12
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2010 IDG Poland SA
tel.: (+48 22) 321 78 00 fax: (+48 22) 321 78 88
© copyright 2010 IDG Poland SA
