Isi kandungan:
Video: Facebook nafi diserang penggodam 2024
Dalam kajian kes ini, Caleb Sima, pakar keselamatan aplikasi yang terkenal, terlibat dalam hack aplikasi web klien. Contohnya untuk menemui risiko keselamatan adalah kisah berhati-hati yang baik untuk membantu melindungi maklumat peribadi anda.
Situasi
Encik. Sima telah diupah untuk menjalankan ujian penembusan aplikasi web untuk menilai keselamatan laman web kewangan terkenal. Dilengkapi dengan URL laman web utama, Encik Sima menyatakan untuk mencari apa laman web lain yang ada untuk organisasi dan bermula dengan menggunakan Google untuk mencari kemungkinan.
Encik. Sima pada mulanya menjalankan imbasan automatik terhadap pelayan utama untuk menemui apa-apa buah gulung rendah. Imbasan ini memberikan maklumat mengenai versi pelayan web dan beberapa maklumat asas lain tetapi apa-apa yang terbukti bermanfaat tanpa kajian lanjut. Walaupun Encik Sima melakukan imbasan, IDS atau firewall tidak melihat apa-apa aktivitinya.
Kemudian Encik Sima mengeluarkan permintaan kepada pelayan di laman web awal, yang mengembalikan beberapa maklumat menarik. Aplikasi web itu nampaknya menerima banyak parameter, tetapi sebagai Encik Sima terus melayari laman web itu, dia menyadari bahawa parameter dalam URL tetap sama.
Encik. Sima memutuskan untuk memadam semua parameter dalam URL untuk melihat maklumat yang akan ditayangkan pelayan apabila ditanya. Pelayan menjawab dengan mesej ralat yang menerangkan jenis persekitaran aplikasinya.
Seterusnya, Encik Sima melakukan carian Google atas aplikasi yang menghasilkan beberapa dokumentasi terperinci. Encik Sima menemui beberapa artikel dan nota teknologi dalam maklumat ini yang menunjukkan kepadanya bagaimana aplikasi itu berfungsi dan apa fail lalai mungkin wujud. Sebenarnya, pelayan mempunyai beberapa fail lalai ini.
Encik. Sima menggunakan maklumat ini untuk meneliti lebih lanjut permohonan itu. Dia segera menemui alamat IP dalaman dan perkhidmatan apa yang ditawarkan oleh aplikasi itu. Sebaik sahaja Encik Sima tahu dengan tepat apa versi pentadbir itu berjalan, dia mahu melihat apa lagi yang boleh dia dapati.
Encik. Sima terus memanipulasi URL dari aplikasi dengan menambah & aksara dalam pernyataan untuk mengawal skrip tersuai. Teknik ini membolehkannya menangkap semua fail kod sumber. Encik Sima mencatatkan beberapa nama fail yang menarik, termasuk VerifyLogin. htm, ApplicationDetail. htm, CreditReport. htm, dan ChangePassword. htm.
Kemudian Encik Sima cuba menyambung ke setiap fail dengan mengeluarkan URL yang diformat khas ke pelayan.Pelayan mengembalikan Pengguna yang tidak log masuk mesej untuk setiap permintaan dan menyatakan bahawa sambungan itu mestilah dibuat dari intranet.
Hasil
Encik. Sima tahu di mana fail terletak dan dapat menghidu sambungan dan menentukan bahawa ApplicationDetail. htm fail menetapkan rentetan cookie. Dengan sedikit manipulasi URL, Encik Sima memukul jackpot. Fail ini memulangkan maklumat pelanggan dan kad kredit apabila aplikasi pelanggan baru sedang diproses. CreditReport. htm membenarkan Encik Sima melihat status laporan kredit pelanggan, maklumat penipuan, status permohonan yang ditolak, dan maklumat sensitif yang lain.
Pelajaran: Hacker boleh menggunakan pelbagai jenis maklumat untuk memecahkan aplikasi web. Eksploitasi individu dalam kajian kes ini adalah kecil, tetapi apabila digabungkan, mereka mengakibatkan kelemahan yang teruk.
Caleb Sima adalah ahli piagam pasukan X-Force di Sistem Keamanan Internet dan merupakan ahli pertama pasukan pengujian penetrasi. Encik Sima pergi bersama untuk menemui SPI Dynamics (yang kemudian diperoleh oleh HP) dan menjadi CTO, serta pengarah SPI Labs, kumpulan penyelidikan dan pembangunan aplikasi dalam SPI Dynamics.