Kunder henvender sig normalt til internettet for at få information og købe produkter og tjenester. I den retning har de fleste organisationer hjemmesider. De fleste websteder gemmer værdifulde oplysninger såsom kreditkortnumre, e-mail-adresse og adgangskoder osv . Dette har gjort dem målrettet mod angribere. Beskadigede websteder kan også bruges til at kommunikere religiøse eller politiske ideologier osv.
I denne vejledning introducerer vi dig teknikker til hacking af toweb-servere, og hvordan du kan beskytte servere mod sådanne angreb.
I denne vejledning lærer du:
- Web-server sårbarheder
- Typer af webservere
- Typer af angreb mod webservere
- Effekter af vellykkede angreb
- Webservers angrebsværktøjer
- Sådan undgår du angreb på webserveren
- Hacking-aktivitet: Hack en webserver
Web-server sårbarheder
En webserver er et program, der gemmer filer (normalt websider) og gør dem tilgængelige via netværket eller internettet . En webserver kræver både hardware og software. Angribere målretter normalt udnyttelsen i softwaren for at få autoriseret adgang til serveren. Lad os se på nogle af de almindelige sårbarheder, som angribere drager fordel af.
- Standardindstillinger - Disse indstillinger såsom standardbruger-id og adgangskoder kan let gættes af angriberne. Standardindstillinger muligvis også udføre bestemte opgaver, såsom at køre kommandoer på serveren, som kan udnyttes.
- Fejlkonfiguration af operativsystemer og netværk - visse konfigurationer, som f.eks. At give brugerne mulighed for at udføre kommandoer på serveren, kan være farlige, hvis brugeren ikke har en god adgangskode.
- Fejl i operativsystemet og webservere - opdagede fejl i operativsystemet eller webserver-softwaren kan også udnyttes til at få uautoriseret adgang til systemet.
Ud over de ovennævnte webserver-sårbarheder kan følgende også føre til uautoriseret adgang
- Manglende sikkerhedspolitik og -procedurer - mangel på sikkerhedspolitik og procedurer såsom opdatering af antivirussoftware, patch af operativsystemet og webserver-software kan skabe sikkerhedssløjfehuller for angribere.
Typer af webservere
Følgende er en liste over de almindelige webservere
- Apache - Dette er den almindeligt anvendte webserver på internettet. Det er på tværs af platforme, men er det normalt installeret på Linux. De fleste PHP-websteder er hostet på Apache-servere.
- Internet Information Services (IIS) - Den er udviklet af Microsoft. Den kører på Windows og er den næstmest anvendte webserver på internettet. De fleste asp- og aspx-websteder er hostet på IIS-servere.
- Apache Tomcat - De fleste Java-server-sider (JSP) -websteder er hostet på denne type webserver.
- Andre webservere - Disse inkluderer Novells webserver og IBMs Lotus Domino-servere.
Typer af angreb mod webservere
Directory traversal angreb - Denne type angreb udnytter fejl på webserveren for at få uautoriseret adgang til filer og mapper, der ikke er i det offentlige domæne. Når angriberen har fået adgang, kan de downloade følsomme oplysninger, udføre kommandoer på serveren eller installere ondsindet software.
- Denial of Service Attacks - Med denne type angreb kan webserveren gå ned eller blive utilgængelig for de legitime brugere.
- Kapring af domænenavnsystem - Med denne type angriber ændres DNS-indstillingen for at pege på angriberens webserver. Al trafik, der skulle sendes til webserveren, omdirigeres til den forkerte.
- Sniffing - Ukrypterede data sendt over netværket kan opfanges og bruges til at få uautoriseret adgang til webserveren.
- Phishing - Med denne type angreb efterligner angrebet webstederne og dirigerer trafik til det falske websted. Ikke-mistænkelige brugere kan blive narret til at indsende følsomme data såsom loginoplysninger, kreditkortnumre osv.
- Pharming - Med denne type angreb kompromitterer angriberen DNS-serverne (Domain Name System) eller på brugercomputeren, så trafikken dirigeres til et ondsindet websted.
- Defacement - Med denne type angreb erstatter angriberen organisationens websted med en anden side, der indeholder hackers navn, billeder og kan omfatte baggrundsmusik og meddelelser.
Effekter af vellykkede angreb
- En organisations omdømme kan blive ødelagt, hvis angriberen redigerer webstedsindholdet og inkluderer ondsindet information eller links til et pornowebsite
- Det webserver kan bruges til at installere skadelig software på brugere, der besøger den kompromitteret website . Den ondsindede software, der downloades på den besøgendes computer, kan være en virus, Trojan eller Botnet Software osv.
- Kompromitterede brugerdata kan bruges til falske aktiviteter, der kan føre til forretningstab eller retssager fra de brugere, der har betroet deres oplysninger til organisationen
Webservers angrebsværktøjer
Nogle af de almindelige webserverangrebsværktøjer inkluderer;
- Metasploit - dette er et open source-værktøj til udvikling, test og brug af udnyttelseskode. Det kan bruges til at opdage sårbarheder på webservere og skrive udnyttelser, der kan bruges til at kompromittere serveren.
- MPack - dette er et webudnyttelsesværktøj . Det blev skrevet i PHP og er bakket op af MySQL som databasemotor. Når en webserver er blevet kompromitteret ved hjælp af MPack, omdirigeres al trafik til den til ondsindede downloadwebsteder.
- Zeus - dette værktøj kan bruges til at gøre en kompromitteret computer til en bot eller zombie. En bot er en kompromitteret computer, der bruges til at udføre internetbaserede angreb. Et botnet er en samling af kompromitterede computere. Botnet kan derefter bruges i et denial of service-angreb eller ved at sende spam-mails.
- Neosplit - dette værktøj kan bruges til at installere programmer, slette programmer, replikere det osv.
Sådan undgår du angreb på webserveren
En organisation kan vedtage følgende politik for at beskytte sig mod webserverangreb.
- Patch management - dette indebærer installation af programrettelser, der hjælper med at sikre serveren. En patch er en opdatering, der løser en fejl i softwaren. Plasterne kan anvendes på operativsystemet og webserver-systemet.
- Sikker installation og konfiguration af operativsystemet
- Sikker installation og konfiguration af webserversoftwaren
- Sårbarhedsscanningssystem - disse inkluderer værktøjer som Snort, NMap, Scanner Access Now Easy (SANE)
- Firewalls kan bruges til at stoppe enkle DoS-angreb ved at blokere al trafik, der kommer fra angribers kilde-IP-adresser.
- Antivirussoftware kan bruges til at fjerne ondsindet software på serveren
- Deaktivering af fjernadministration
- Standardkonti og ubrugte konti skal fjernes fra systemet
- Standardporte og indstillinger (som FTP i port 21) skal ændres til brugerdefineret port og indstillinger (FTP-port ved 5069)
Hacking-aktivitet: Hack en webserver
I dette praktiske scenarie skal vi se på anatomien i et webserverangreb. Vi antager, at vi målretter mod www.techpanda.org. Vi vil faktisk ikke hacke os ind i det, da dette er ulovligt. Vi bruger kun domænet til uddannelsesmæssige formål.
Hvad vi har brug for
- Et mål www.techpanda.org
- Bing søgemaskine
- SQL-injektionsværktøjer
- PHP Shell, vi bruger dk shell http://sourceforge.net/projects/icfdkshell/
Indsamling af oplysninger
Vi bliver nødt til at få IP-adressen til vores mål og finde andre websteder, der deler den samme IP-adresse.
Vi bruger et online værktøj til at finde målets IP-adresse og andre websteder, der deler IP-adressen
- Indtast URL'en https://www.yougetsignal.com/tools/web-sites-on-web-server/ i din webbrowser
- Indtast www.techpanda.org som mål
- Klik på Check-knappen
- Du får følgende resultater
Baseret på ovenstående resultater er IP-adressen til målet 69.195.124.112
Vi fandt også ud af, at der er 403 domæner på den samme webserver.
Vores næste trin er at scanne de andre websteder for SQL-injektionssårbarheder. Bemærk: hvis vi kan finde en SQL-sårbar på målet, ville vi direkte udnytte den uden at overveje andre websteder.
- Indtast URL'en www.bing.com i din webbrowser. Dette fungerer kun med Bing, så brug ikke andre søgemaskiner som google eller yahoo
- Indtast følgende søgeforespørgsel
ip: 69.195.124.112 .php? id =
HER,
- “Ip: 69.195.124.112” begrænser søgningen til alle de websteder, der hostes på webserveren med IP-adresse 69.195.124.112
- “.Php? Id =” søgning efter URL GET-variabler brugte parametre til SQL-sætninger.
Du får følgende resultater
Som du kan se fra ovenstående resultater, er alle de websteder, der bruger GET-variabler som parametre til SQL-injektion, blevet anført.
Det næste logiske trin ville være at scanne de anførte websteder for SQL Injection-sårbarheder. Du kan gøre dette ved hjælp af manuel SQL-injektion eller bruge værktøjer, der er anført i denne artikel om SQL Injection.
Uploade PHP Shell
Vi scanner ikke nogen af de websteder, der er anført, da dette er ulovligt. Lad os antage, at det er lykkedes os at logge ind på en af dem. Du bliver nødt til at uploade den PHP-skal, som du downloadede fra http://sourceforge.net/projects/icfdkshell/
- Åbn URL'en, hvor du uploadede dk.php-filen.
- Du får følgende vindue
- Hvis du klikker på URL-adressen til Symlink, får du adgang til filerne i måldomænet.
Når du har adgang til filerne, kan du få loginoplysninger til databasen og gøre hvad du vil, såsom fordrejning, download af data såsom e-mails osv.
Resumé
- Webserver lagrede værdifulde oplysninger og er tilgængelige for det offentlige domæne. Dette gør dem mål for angribere.
- De almindeligt anvendte webservere inkluderer Apache og Internet Information Service IIS
- Angreb på webservere drager fordel af fejl og fejlkonfiguration i operativsystemet, webservere og netværk
- Populære hackingsværktøjer til webserverer inkluderer Neosploit, MPack og ZeuS.
- En god sikkerhedspolitik kan reducere chancerne for at blive angrebet