Inhaltsverzeichnis:
Video: ? Unfaire Facebook Werbeanzeige | Social Proof kopieren Facebook Werbeanzeigen Hack 2024
In dieser Fallstudie wurde Caleb Sima, ein bekannter Experte für Client-Webanwendungen. Dieses Beispiel der Entdeckung eines Sicherheitsrisikos ist eine gute Warnung, um Ihre privaten Informationen zu schützen.
Die Situation
Herr. Sima wurde beauftragt, einen Penetrationstest für Webanwendungen durchzuführen, um die Sicherheit einer bekannten Finanzwebsite zu bewerten. Mit nichts weiter als der URL der Hauptfinanzseite ausgerüstet, machte sich Herr Sima auf die Suche nach anderen Websites für die Organisation und begann mit Google, nach Möglichkeiten zu suchen.
Herr. Sima führte anfangs einen automatisierten Scan gegen die Hauptserver durch, um niedrig hängende Früchte zu erkennen. Dieser Scan lieferte Informationen über die Webserver-Version und einige andere grundlegende Informationen, aber nichts, was sich ohne weitere Forschung als nützlich erwies. Während Herr Sima den Scan durchführte, bemerkten weder der IDS noch die Firewall irgendwelche seiner Aktivitäten.
Dann stellte Herr Sima eine Anfrage an den Server auf der anfänglichen Webseite, die einige interessante Informationen zurückgab. Die Webanwendung schien viele Parameter zu akzeptieren, aber als Herr Sima die Site weiter durchsuchte, bemerkte er, dass die Parameter in der URL gleich geblieben waren.
Herr. Sima entschied sich dafür, alle Parameter innerhalb der URL zu löschen, um zu sehen, welche Informationen der Server bei der Abfrage zurückgeben würde. Der Server hat mit einer Fehlermeldung reagiert, die den Typ der Anwendungsumgebung beschreibt.
Als nächstes führte Herr Sima eine Google-Suche in der Anwendung durch, die zu einer detaillierten Dokumentation führte. Herr Sima fand in diesen Informationen mehrere Artikel und technische Hinweise, die ihm zeigten, wie die Anwendung funktionierte und welche Standarddateien möglicherweise vorhanden waren. In der Tat hatte der Server mehrere dieser Standarddateien.
Herr. Sima nutzte diese Informationen, um die Anwendung weiter zu untersuchen. Er entdeckte schnell interne IP-Adressen und welche Dienste die Anwendung bot. Sobald Mr. Sima genau wusste, welche Version der Admin hatte, wollte er sehen, was er sonst finden konnte.
Herr. Sima fuhr fort, die URL aus der Anwendung zu manipulieren, indem sie & Zeichen innerhalb der Anweisung hinzufügte, um das benutzerdefinierte Skript zu steuern. Diese Technik erlaubte es ihm, alle Quellcodedateien zu erfassen. Herr Sima notierte einige interessante Dateinamen, einschließlich VerifyLogin. htm, AnwendungsDetail. htm, Kreditbericht. htm und ChangePassword. htm.
Dann versuchte Herr Sima, sich mit jeder Datei zu verbinden, indem er eine speziell formatierte URL an den Server ausgab.Der Server hat für jede Anforderung eine Meldung "Benutzer nicht angemeldet" zurückgegeben und angegeben, dass die Verbindung über das Intranet hergestellt werden muss.
Das Ergebnis
Herr. Sima wusste, wo sich die Dateien befanden und konnte die Verbindung abschnüffeln und das ApplicationDetail bestimmen. HTM-Datei eine Cookie-Zeichenfolge festgelegt. Mit wenig Manipulation der URL hat Herr Sima den Jackpot geknackt. Diese Datei hat Clientinformationen und Kreditkarten zurückgegeben, wenn eine neue Kundenanwendung verarbeitet wurde. Kreditbericht. htm gestattete Herrn Sima, den Kreditstatus des Kunden, Betrugsinformationen, den Status von abgelehnten Anträgen und andere sensible Informationen einzusehen.
Die Lektion: Hacker können viele Arten von Informationen nutzen, um Webanwendungen zu durchbrechen. Die einzelnen Exploits in dieser Fallstudie waren geringfügig, aber wenn sie kombiniert wurden, führten sie zu schwerwiegenden Sicherheitsanfälligkeiten.
Caleb Sima war Gründungsmitglied des X-Force Teams bei Internet Security Systems und war das erste Mitglied des Penetration Testing Teams. Herr Sima gründete später SPI Dynamics (später von HP übernommen) und wurde CTO sowie Direktor von SPI Labs, der Abteilung für Anwendungssicherheitsforschung und -entwicklung bei SPI Dynamics.
