A TAKI NA APLIKACJE INTERNETOWE

Przy atakowaniu aplikacji internetowych stosuje się wiele tych samych technik, co przy atakach na serwery (jak np. zatwierdzanie danych wejściowych i ujawnianie kodu źródłowego). Do wykrywania aplikacji podatnych na włamanie można wykorzystać wyszukiwarki sieciowe (np. Google), które indeksują różne zasoby, w tym np. strony WWW. Pozwalają one zachować anonimowość i umożliwiają uzyskanie informacji potrzebnej do przeprowadzenia ataku w sieci. W ramach przygotowań do ataku na wybraną aplikację może istnieć potrzeba pobrania całej witryny. Do tego celu można zastosować gotowe narzędzia, takie jak bezpłatny program wget, pobierający pliki przy pomocy takich protokołów jak HTTP, HTTPS i ftp, czy oprogramowanie Offline Explorer Pro (komercyjna aplikacja Win32), obsługujące na przykład protokoły HTTPS i RTSP (ang. Real Time Streaming Protocol), które pozwala na pobieranie witryn internetowych do edycji off-line.

Ataki na aplikacje internetowe poprzedza gruntowna ich analiza, do przeprowadzenia której też można wykorzystać specjalizowane narzędzia. W celu wyszukiwania słabych stron oprogramowania badane są między innymi architektura i funkcjonalność aplikacji. Do popularnych narzędzi należą: Achilles (przechwytuje dane podczas sesji HTTP), Paros Proxy (testuje zabezpieczenia aplikacji), czy o podobnej funkcjonalności WebSleuth, SPIKE Proxy i Web Proxy. Te i im podobne narzędzia są przeznaczone dla administratorów sieci do badania bezpieczeństwa aplikacji internetowych bądź serwerów, jednak użyte przez hakerów pozwalają na znalezienie możliwości wywołania przepełnienia bufora, zablokowania usługi lub

wyszukania innej drogi do przeprowadzenia ataku na wybraną witrynę. Ataki na aplikacje internetowe skupiają się wokół takich obszarów, jak:

 uwierzytelnianie,

 zarządzanie sesją,

 interakcja z bazą danych,

 akceptacja danych wejściowych.

Wiele aplikacji sieciowych wykorzystuje skrypty zapytań do bazy danych umieszczonej na serwerze internetowym w popularnym języku bazodanowym SQL.

W tym przypadku, przechwycenie wysyłanych przez skrypty zapytań lub ich modyfikacja (np. poprzez wstawienie znaków mających szczególne znaczenie w języku Transact-SQL), może prowadzić do nieprzewidzianego działania aplikacji i w konsekwencji umożliwić przejęcie nad nią lub danymi kontroli.

Do najbardziej rozpowszechnionych należą ataki XSS (ang. Cross-Site Scripting), przy czym wyróżnia się tu ataki odbite, trwałe, zapisane, lokalne i bezpośrednie.

Główna idea ataków XSS polega na umieszczeniu szkodliwego kodu na stronie internetowej lub w hiperłączu, a następnie zainfekowaniu nim komputera każdego odwiedzającego ją użytkownika. Szkodliwy kod może być umieszczony na stronie WWW (atak zapisany, trwały), może zostać dostarczony mailem (atak bezpośredni) lub znajdować się w innym serwisie (atak odbity). Wstawiane oprogramowanie może obejmować kod HTML, skrypty, ActiveX czy Flash. Na ogół celem ataku nie jest sama strona WWW, lecz jej użytkownicy mający zaufanie do danego serwisu informacyjnego. Skutkiem tych działań, w przypadku dużej liczby poszkodowanych, może być zatem utrata zaufania do organizacji będącej właścicielem danej strony internetowej.

Niepoprawną realizację zatwierdzania danych wejściowych przez aplikację internetową wykorzystano także w ataku HTTP Response Splitting, polegającym na wstawianiu odpowiedzi HTTP. Efekty są w tym przypadku takie same jak podczas ataku XSS. Dotyczy to aplikacji, w których dane użytkownika osadzone są w odpowiedzi HTTP – najczęściej odnosi się to do skryptów działających na serwerach i przepisujących łańcuchy zapytań z nowymi nazwami lokalizacji.

Dla uzyskania nielegalnego dostępu do komputera użytkownika można też wykorzystać luki w oprogramowaniu klienckim. Celem takiego ataku może być przeglądarka internetowa, ale też inne oprogramowanie po stronie użytkownika przetwarzające różne dane na odwiedzanych stronach WWW. Zagrożenia może nieść używanie poczty elektronicznej, komunikatorów internetowych, a nawet korzystanie z protokołów umożliwiających szyfrowanie przesyłanych danych, takich jak SSH czy SSL/TLS, na które też można przeprowadzać ataki wykorzystujące ich wady.

Jeszcze inna metoda atakowania polega na wstawianiu kodu SSI (ang. Serwer Side Includes) do pól stanowiących dla serwera dokument HTML, co umożliwia zdalne uruchomienie poleceń. Mechanizm SSI zapewnia interaktywność i funkcjonowanie w czasie rzeczywistym bez programowania, i często jest używany do sprawdzania czasu systemowego (daty, godziny) lub do lokalnego wykonania poleceń. Najbardziej wykorzystywanymi przez hakerów funkcjami SSI są: include, exec oraz email.

Pakiety do analizy stanu bezpieczeństwa muszą zawierać narzędzia, które pozwolą:

 badać systemy uwierzytelniania (między innymi pod kątem występowania słabych haseł),

 skanować porty,

 badać odporność na atak „man-in-the-middle”¹¹,

 badać podatność na wstawianie instrukcji SQL,

 sprawdzać działanie aplikacji przy wprowadzaniu nietypowych danych wejściowych,

 deszyfrować dane zaszyfrowane przy pomocy standardowych algorytmów kryptograficznych.

Informacje o wykryciu kolejnych wad w systemach pojawiają się nieustannie.

W styczniu 2008 roku Oracle przedstawił 51 poprawek bezpieczeństwa usuwających między innymi pięć poważnych luk znalezionych w Oracle Database, Oracle Application Serwer i Oracle E-Business Suite i innym oprogramowaniu systemu, umożliwiających przeprowadzenie zdalnych ataków. W marcu 2008 roku podano

11 Atak polegający na przechwytywaniu i modyfikowaniu przez atakującego danych przesyłanych pomiędzy komunikującymi się stronami.

informację o zidentyfikowaniu dziesięciu luk (w tym trzech krytycznych) w coraz popularniejszej przeglądarce Firefox i innych produktach firmy Mozilla. Wykryte błędy między innymi powodują niestabilność pracy silnika przeglądarki, w skrajnym przypadku przerwanie jej działania (co można wykorzystać do wykonania dowolnego kodu w systemie), umożliwiają podglądnięcie historii odwiedzanych stron WWW oraz wstawienie kodu JavaScript innej stronie internetowej. Z kolei marcowy biuletyn bezpieczeństwa firmy Microsoft donosi o poprawkach dotyczących czterech krytycznych luk w aplikacjach pakietu MS Office (m.in. MS Excel i MS Outlook), które umożliwiały przejęcie kontroli nad systemem.