Основы анализа безопасности веб-проектов

Сбор информации

Для любой системы есть некая точка входа. Такой точкой может быть url-адрес, ip-адрес компьютера и т.п. Изначально мы должны постараться максимально расширить поверхность атаки, т.е. если точка входа - некое доменное имя - стоит узнать об имеющихся поддоменах, других доменах, принадлежащих той же организации и т.п. И если у первоначальной точки входа не было уязвимостей, возможно их удастся найти в других точках, входящих в поверхность атаки.

Для получения первоначальной информации о цели есть две группы методов: пассивный анализ и активный анализ.

• При пассивном анализе используются только общедоступные методы, "никто ничего не нарушает".
• Активный анализ может в том или ином виде спровоцировать реакцию системы безопасности целевой системы.

В пассивном анализе рассматриваются:

1. Использование данных, получаемых через систему доменных имен (DNS, WhoIs)
2. Поисковые системы
3. Код клиентской части
4. Содержимое robots.txt
5. Используемые компоненты
6. Социальные сети

Все это может дать некоторую информацию о цели

В ходе активного анализа рассматриваются:

1. Подбор DNS-записей
2. Подбор файловых путей
3. Подбор пользователей
4. Сканирование портов

DNS и Zonetransfer

Каждый компьютер, подключенный к сети обладает неким IP-адресом.  Для того, чтобы при обращении клиента к серверу не пришлось указывать ip-адрес, существует система доменных имен. При обращении клиента к доменному имени сначала идет обращение к DNS-серверу, получение ответа от него, содержащего IP-адрес целевого сервера, затем идет обращение по полученному IP-адресу.

Для формирования запросов к DNS-серверу есть несколько полезных утилит:

nslookup [-q=ns|mx|afxr|txt] [name] [server]
          -q - тип запроса          
          name - имя, которое хотим отрезолвить
          server - DNS-сервер, через который хотим отправить запрос, необязательный параметр,по умолчанию будут использованы указанные в настройках клиентской машины сервера

Также можно использовать другие утилиты:

dig [@server] [name] [type]
host [name] [server]

Для получения информации о других доменных именах, связанных с целевой системой (и включения их в поверхность атаки) можно получить список поддоменов данной доменной зоны. Такая задача называется zonetransfer. В большинстве случаев zonetransfer запрещают, но далеко не всегда.

Запрос может быть выполнен следующим образом (используется проект zonetransfer.me, созданный как раз для демонстрации этой возможности):

nslookup -q=ns zonetransfer.me  - выдергиваем "авторитетные" dns-сервера для этой зоны

dig zonetransfer.me @dnsserver axfr  - в качестве dnsserver указываем сервер, полученный на первом шаге. 

Также можно использовать следующие команды под windows:

В командной строке (cmd):
nslookup
set type=ns (указываем, чтохотим увидеть только записи типа ns - DNS-сервера, поддерживающие зону)

zonetransfer.me   (получаем список DNS-серверов данной зоны)

server <имя первого DNS-сервера> (указываем, что теперь любые запросы программа отсылает ему)

ls -d zonetransfer.me (получаем вывод всего, что содержится в домене zonetransfer.me)

Как третий вариант - можно использовать веб-сервисы, например: http://www.digwebinterface.com/

WhoIs

Whois - предназначен для получения информации об определенном доменном имени.

Стандартная практика использования следующая:

nslookup  - резолвим домен, получая IP-адрес

whois  - получаем сеть, к которой принадлежит этот ip-адрес, выявленные адреса можно включать в поверхность атаки

Если выполнить:

whois domain.com

то мы получим данные из базы регистратора доменных имен. Для российских доменных имен информация о владельце доменных имен на данный момент не отображается, но для старых доменных имен вполне можно найти исторические данные в интернете. В зоне .com такого ограничения нет.

Поисковые движки

Содержат массу полезной информации. У поисковых движков есть свой язык запросов, который можно использовать.

inurl: - позволяет задать паттерн, который должен встречаться в url

site: - позволяет искать все, относящееся к конкретному сайту

filetype: - позволяет определять типы документов по расширению (например можно искать все pdf на сайте)

cache: - в качестве параметр применяются url, поисковая машина вернет закешированную копию

Robots.txt

Содержит информацию о каталогах, которые должны/не должны быть индексированы поисковыми системами.

Среди запрещенных для поисковой машины каталогов часто можно найти специфические для безопасности каталоги (содержащие, например, адрес интерфейса администратора).

HTML-код

Может содержать массу интересной информации. В целом стоит обращать внимание на следующие моменты:

• комментарии - могут содержать массу интересной информации, например закомментированный код серверной части системы
• версии распространенных продуктов - позволяют понять "на чем" работает целевая система
• параметры - GET и POST-параметры, которые не используются по каким-либо причинам
• файлы и пути - расположение относительно корневой веб-директории

Сканирование портов

Цель - понять что еще находится на целевом сервере, помимо интересущей нас системы.

Для сканирования портов используем стандартную утилиту nmap:

nmap -sS -T4 -n <target>
  -sS      - посылать только syn и считать порт открытым если получен syn_ack 
  -n       - не делать DNS-резолв, влияет на скорость работы 
  -T4      - тайминг между запросами, от этого зависит скорость сканирования             -  vvv     - вывод информации о найденных портах по ходу сканирования а не после его окончания 
  -p       - сканировать все 65000 портов, а не только самые популярные 
  --reason - отображает причину, почему было принято решение о состоянии порта

По ссылке также есть довольно много примеров использования команды с разным набором параметров.

Точки входа в систему

Веб - приложение может принимать данные через:

• GET / POST методы
• Cookies
• Headers
• Hosts
• Data sources

Все эти входные данные могут быть модифицированы пользователем, при разработке это нужно всегда осознавать.

HTTP - протокол открытый, т.е. данные передаются без кодирования, любой запрос может быть без особых проблем воспроизведен вручную. 

В ходе анализа как правило воспроизводится следующий цикл:

Для каждого параметра можно проверить состояние системы в трех ситуациях: когда есть данные, когда нет данных и ошибочное состояние (например, параметр неверного типа).

Интересные Header-ы

HTTP 1.1 отличает от HTTP 1.0 наличие header-а "Host". Это было введено для того, чтобы была возможность хостить несколько веб-серверов на одном физическом IP-адресе. Заголовок Host как и все остальные формируется клиентом.

Cookie - передаются в заголовку для сохранения состояния между сессиями.

Для того, чтобы определять IP-адрес пользователя, находящегося за прокси-сервером, был придуман служебный заголовок, который прокси-сервер дописывает: X-Forwarded-For. Некоторые разработчики надеются таким образом распознать реальный адрес клиента и отдают значению этого заголовка приоритет в обработке. Делают тем самым хуже себе, т.к. заголовок легко подделывается.

GET / POST запросы, их перехват и создание в консоли

Для анализа (и подмены "на лету") GET / POST запросов к серверу можно использовать т.н. перехватывающие прокси-сервера. Наиболее распространенные программы такого типа: OWASP ZAP,  Burp Suite, Fiddler.

Для выполнения запросов можно подсоединиться к целевому веб-серверу, например так:

telnet ya.ru 80GET / HTTP/1.1Host: ya.ru

Для организации HTTPS-соединения можно сделать так:

openssl s_client -connect e.mail.ru:443GET / HTTP/1.1Host: e.mail.ru

В качестве более-удобных инструментов для общения с веб-сервером из консоли можно использовать wget (русскоязычная справка)  и curl (русскоязычная справка).

Версия curl для windows: http://curl.haxx.se/download.html

Версия wget для windows: https://eternallybored.org/misc/wget/

wget -O - --header "headername:value" http://target.comcurl -H "headername:value" http://target.com

Неожиданно, но, используя curl через GET-метод также можно передавать тело запроса (не средствами браузера). Например, так:

curl -X GET -H "Content-Type: application/json" -d '{"the": "body"}' 'http://localhost/test/get.php'

Подробное обсуждение здесь.

Стоит помнить, что параметры в запросах часто передаются не в открытом виде, а , например закодированные в base64. В таком случае для их подмены нужно их расшифровать, подменить и зашифровать обратно по тому же алгоритму.

Уязвимости веб-приложений

Раскрытие служебных данных

Раскрытие данных - это ошибка системы, позволяющая злоумышленнику получить информацию относительно логики работы атакуемой системы, её настроек, внутренней архитектуры, имеющихся пользователей, текущего состояния - всего того, что само по себе не является целью злоумышленника, однако может привести к взлому в совокупности с другой уязвимостью.

Возможные данные:

• структура файловой системы
• пользователи
• исходный код
• внутренняя архитектура
• настройки

Причины раскрытия данных:

• ошибки приложения
• ошибки конфигурации
• системы контроля версий
• html-код
• "мусорные" файлы

Локальное включение файлов (LFI)

Локальное включение данных довольно часто используется веб-системами , представляет собой передачу через параметры имен локально существующих файлов и их  отображение пользователю.

Например, так:

http://target.com/getpage.php?page=contacts.txt

Код такого рода часто используется для навигации по страницам сайта.

Зная структуру каталогов веб-сервера можно "попросить" его отобразить содержимое других файлов, например, содержащих пароли (/etc/password), примерно так:

http://target.com/getpage.php?page=../../../../../../etc/passwd

Если кроме загрузки файла и отображения его содержимого происходит еще и их интерпретация, можно заставить сервер рекурсивно включать файл и посмотреть что из этого получится :)

http://target.com/getpage.php?page=../getpage.php

 Если разработчик добавляет расширение к файлу, т.е. при вызове 

http://target.com/getpage.php?page=contacts

в коде будет добавлено расширение и отображено содержимое файла contacts.txt, то можно использовать null-byte - символ, обозначающий конец строки, чтобы обрезать расширение.

http://target.com/getpage.php?page=../../../../../../etc/passwd%00

Инъекция команд

Инъекция команд - это уязвимость, позволяющая выполнить непредусмотренную разработчиком (или даже любую системную) команду на сервере. Может быть выполнена, если в системе делается вызов какой-либо команды на базе параметров, пришедших от пользователя.

Пример:

http://hosttool.com/tools.php?host=1.2.3.4;pwd

Точка с запятой в данном случае будет разделителем и выполнится команда вида:

ping 1.2.3.4; pwd

В результате мы увидим не только результат команды ping, но и текущий каталог в системе.

http://hosttool.com/tools.php?host=1.2.3.4|pwd

Используя вертикальную черту, можно передавать stdout одной команды на stdin следующей команды, организуя "цепочку".

SQL инъекция

Представляет собой атаку, цель которой - модификация sql-запроса, выполняющегося на сервере базы данных. При успешном выполнении злоумышленник сможет выполнить на сервере команды.

Примером может быть запрос такого типа:

http://target.com/login.php?user=alex' OR 1=1

Основные подходы:

•  сворачивание условия WHERE к истиностному результату при любых значениях параметров (' OR 1=1).
• присоединение к запросу результатов другого запроса (' UNION select ...)
• закомментирование части запроса (' --)

Клиентские атаки

В отличие от атак серверной части,  для выполнения клиентских атак может быть нужно заставить пользователя совершить определенное действие, например, перейти по какой-то ссылке.

Same-origin policy - это механизм для защиты данных и методов, пришедших из разных источников.

"Одинаковость" источника определяется по трем признакам: протокол, домен, порт.

Задача клиентских атак как раз сводится к тому, чтобы каким-либо образом обойти Same-origin policy.

CSRF (cross-site request forgery)

Основывается на идее, что страницы могут включать в себя данные из разных источников.

На контролируемом злоумышленником домене размещается ссылка, осуществляющая переход на сторонний сайт. При этом пользователь сайта-злоумышленника может быть авторизован на этом стороннем сайте.

Например, включив в код сайта-злоумышленника следующую строку, в случае, если пользователь авторизован на target.com, он может сам того не зная оставлять комментарии со спамом:

<img src="http://target.com/post_comment.php?text="spam"/>

Переделка GET запроса на POST-запрос на target.com не поможет, тогда злоумышленник добавит код вида:

<form action ='http://target.com/form.php'> 
<input type=hidden name='id' value=1> 
</form> 
<script>submitForm()</script>

www.target.com/script.php?lang=en<script>alert(1)</script>

document.write()
document.writeln()
eval()
.innerHTML

...
Location: <user input>

...
Location: hell
Set-Cookie: gotohell = 1
...

john <passwd file>
john --wordlist=<dictionary pass> <passwd file>
john --format=<formatname> passfile    (список форматов: john --list=formats)