Vulnerabilities ojula. Aaye ayelujara yiyewo. Eto lati ọlọjẹ awọn Aaye fun vulnerabilities

aaye aabo oro ti kò ti bi ńlá bi ninu awọn 21st orundun. Dajudaju, yi jẹ nitori awọn okeerẹ itankale Internet ni fere gbogbo ise ati oko. Gbogbo ọjọ, olosa ati aabo amoye ri kan diẹ titun vulnerabilities ojula. Ọpọlọpọ awọn ti wọn wa ni lẹsẹkẹsẹ titi onihun ati awọn kóòdù, ṣugbọn diẹ ninu wa bi jẹ. Eyi ti o ti lo nipasẹ awọn attackers. Sugbon lilo a ti gepa ojula le fa ipalara nla si mejeji awọn oniwe-olumulo ati awọn olupin lori eyi ti o ti wa ni ti ile.

Orisi ti ojula vulnerabilities

Nigbati o ba ṣẹda oju-iwe ayelujara lo nipa a pupo ti o ni ibatan ẹrọ itanna imo. Diẹ ninu awọn ni o wa fafa ati akoko-ni idanwo, ati awọn ti wa ni titun ati ki o ti ko ti wọ. Ni eyikeyi nla, nibẹ ni opolopo ti orisirisi ti ojula ti vulnerabilities:

• XSS. Kọọkan ojula ni o ni kekere kan fọọmu. Nwọn si ran awọn olumulo tẹ data ati ki o gba a esi, ìforúkọsílẹ wa ni ti gbe jade tabi firanṣẹ ifiranṣẹ. Fidipo ni awọn fọọmu ti pataki papo le ma nfa awọn ipaniyan ti kan awọn akosile, eyi ti o le fa kan ti o ṣẹ awọn iyege ti awọn ojula ati compromising data.
• SQL-abẹrẹ. A wopo ati ki o munadoko ọna lati jèrè wiwọle si igbekele data. Yi le waye boya nipasẹ awọn adirẹsi igi, tabi nipasẹ awọn fọọmu. Awọn ilana ti wa ni ti gbe jade nipa substituting awọn iye ti ko le wa filtered awọn iwe afọwọkọ ati ìbéèrè awọn database. Ati pẹlu awọn to dara imo ti o le fa a aabo csin.

• HTML-aṣiṣe. Fere kanna bi ti o ti XSS, sugbon ko ifibọ akosile koodu, ati HTML.
• Awọn palara ti ojula ni nkan ṣe pẹlu placement ti awọn faili ati awọn ilana ni awọn aiyipada awọn ipo. Fun apẹẹrẹ, mọ awọn be ti oju-iwe ayelujara, o le de ọdọ awọn isakoso nronu koodu.
• Insufficient Idaabobo ti setup ti awọn ọna eto lori olupin awọn. Ti o ba ti eyikeyi, awọn palara ni bayi, ki o si awọn attacker yẹ ki o ni anfani lati ṣiṣẹ lainidii koodu.
• Bad awọn ọrọigbaniwọle. Ọkan ninu awọn julọ kedere vulnerabilities ojula - lo lagbara iye lati dabobo won iroyin. Paapa ti o ba ti o jẹ ohun IT.
• Saarin kún. O lo nigbati rirọpo data lati iranti, ki o le ṣe ara wọn atunṣe. O waye nigbati awọn ilowosi ti aláìpé software.
• Rirọpo ruju ti rẹ sii. Recreating ẹya gangan daakọ ti awọn aaye ayelujara nípa wíwọlé lori si awọn olumulo ti o le wa ko le fura si a omoluabi ki o si tẹ ara rẹ alaye, lẹhin ti awọn akoko ran attacker.
• Kiko ti iṣẹ. Gbogbo oro ti wa ni gbọye ni kolu lori olupin nigba ti o gba kan ti o tobi nọmba ti awọn ibeere ti ko le mu awọn, ati ki o nìkan "silė" tabi di lagbara lati sin awọn wọnyi olumulo. Awọn palara da ni o daju pe ohun IP àlẹmọ ti wa ni ko ni tunto daradara.

Palara wíwo Aye

Aabo ojogbon waiye pataki kan se ayewo ti awọn ayelujara fun awọn aṣiṣe ati abawọn ti o le ja si wo inu. Iru ijerisi ojula ti a npe ni pentesting. Awọn ilana itupale awọn orisun koodu lo nipasẹ awọn CMS, niwaju kókó modulu ati ọpọlọpọ awọn miiran awon igbeyewo.

SQL-abẹrẹ

Yi iru igbeyewo ojula ipinnu boya awọn akosile sero awọn gba iye ni igbaradi ti ibeere si awọn database. Se kan ti o rọrun igbeyewo le jẹ pẹlu ọwọ. Bawo ni lati wa SQL palara lori ojula? Ti yoo wa ni sísọ.

Fun apẹẹrẹ, nibẹ ni a ojula mi-sayt.rf. Lori awọn oniwe-iwaju iwe ni o ni a katalogi. Lọ sinu o, o le ti wa ni ri ninu awọn adirẹsi igi nkankan bi mi-sayt.rf /? Product_id = 1. O jẹ seese wipe yi ni a ase si lati awọn database. Lati wa a ojula vulnerabilities le akọkọ gbiyanju lati aropo ninu awọn ọna kan nikan ń. Bi awọn kan abajade, o yẹ ki o jẹ tèmi-sayt.rf /? Product_id = 1 '. Ti o ba tẹ awọn "Tẹ" bọtini lori iwe, ohun aṣiṣe ifiranṣẹ, awọn palara wa.

Bayi o le lo orisirisi awọn aṣayan fun awọn asayan ti iye. Lo apapo awọn oniṣẹ imukuro, o nsoro ati ọpọlọpọ awọn miran.

XSS

Yi iru palara le jẹ ti meji orisi - nṣiṣe lọwọ ati ki palolo.

Iroyin tumo si awọn ifihan ti a nkan ti koodu ni awọn database tabi ni awọn faili lori olupin awọn. O ti wa ni diẹ lewu ati unpredictable.

Palolo mode je nperawon ni njiya si kan pato adirẹsi ti awọn ojula ti o ni irira koodu.

Lilo XSS attacker le ji Cookies. Ati awọn ti wọn le ni pataki olumulo data. Ani diẹ dire gaju ti ji igba.

Bakannaa, awọn attacker le lo awọn akosile lori ojula ki bi lati dagba ni akoko ti fifiranṣẹ awọn ti o ti fun awọn olumulo awọn alaye taara sinu awọn ọwọ ti ẹya attacker.

Adaṣiṣẹ ti awọn search ilana

Awọn nẹtiwọki le ri kan pupo ti awon palara scanners ojula. Diẹ ninu awọn wá nikan, diẹ ninu awọn wá pẹlu orisirisi iru ati ki o ti dapọ sinu kan nikan image, bi Kali Lainos. Yoo tesiwaju lati pese ohun Akopọ ti awọn julọ gbajumo irinṣẹ lati automate awọn ilana ti gba alaye nipa vulnerabilities.

Nmap

Ni rọọrun aaye palara scanner ti o le fi awọn alaye bi awọn ẹrọ eto lo ebute oko ati awọn iṣẹ. Aṣoju awọn ohun elo:

nmap -sS 127.0.0.1, ibi ti dipo ti awọn ti agbegbe IP adirẹsi ni pataki lati aropo awọn gidi igbeyewo Aaye.

Ipari Iroyin lori ohun ti awọn iṣẹ ti wa ni nṣiṣẹ lori o, ati eyi ti ebute oko wa ni sisi ni akoko yi. Da lori alaye yi, o le gbiyanju lati lo tẹlẹ mọ palara.

Nibi ni o wa kan diẹ bọtini lati a nmap scan irẹjẹ:

• -A. Ibinu ọlọjẹ ti o nda a pupo ti alaye, ṣugbọn o le gba akude akoko.
• -O. O ti wa ni gbiyanju lati da awọn ẹrọ eto lo lori olupin rẹ.
• -D. Spoof ohun IP adirẹsi lati eyi ti a ayẹwo ti wa ni ṣe si nigbati o ba wo o soro lati server àkọọlẹ lati mọ ibi ti awọn kolu lodo wa.
• -p. Ni ibiti o ti ebute oko. Yiyewo orisirisi awọn iṣẹ fun ìmọ.
• -S. O faye gba o lati tokasi awọn ti o tọ IP adiresi.

WPScan

Eto yi ni lati ọlọjẹ awọn Aaye fun vulnerabilities to wa ni Kali Lainos pinpin. Še lati ṣayẹwo ayelujara oro lori awọn ti anpe ni CMS. a ti kọ ọ ninu Ruby, ki ṣiṣe bi yi:

Ruby ./wpscan.rb --help. Yi aṣẹ yoo fi gbogbo awọn wa awọn aṣayan ati awọn lẹta.

aṣẹ le ṣee lo lati ṣiṣe kan ti o rọrun igbeyewo:

Ruby ./wpscan.rb --url some-sayt.ru

Ni gbogbogbo WPScan - lẹwa rorun lati lo IwUlO lati se idanwo rẹ sii lori "wordpress" vulnerabilities.

Nikto

Program ojula yiyewo fun awọn vulnerabilities, ti o jẹ tun wa ni Kali Lainos pinpin. O pese alagbara agbara fun gbogbo awọn oniwe-ayedero:

• Ọlọjẹ bèèrè pẹlu HTTP ati ki o HTTPS;
• bypassing ọpọlọpọ-itumọ ti erin irinṣẹ;
• ọpọ ibudo Antivirus, paapa ni ti kii-bošewa ibiti;
• ni atilẹyin awọn lilo ti aṣoju apèsè;
• o jẹ ṣee ṣe lati se ati asopọ plug-ins.

Lati bẹrẹ nikto ye lati awọn eto ti a ti fi sori ẹrọ Perl. Awọn alinisoro onínọmbà wa ni ošišẹ ti bi wọnyi:

Perl nikto.pl -H 192.168.0.1.

Awọn eto le ti wa ni "je" a ọrọ faili ti awọn akojọ ti awọn oju-server adirẹsi:

Perl nikto.pl -H file.txt

Yi ọpa yoo ko nikan ran aabo akosemose to se Pentest, ṣugbọn nẹtiwọki alakoso ati oro lati bojuto awọn ilera ojula.

Burp Suite

A gan lagbara ọpa lati ṣayẹwo ko nikan ojula, ṣugbọn ibojuwo ti eyikeyi nẹtiwọki. Ti a-itumọ ti ni iṣẹ ti awọn iyipada si ibeere won kọja lori awọn igbeyewo server. Smart scanner ti o lagbara laifọwọyi wo fun orisirisi orisi ti vulnerabilities ni ẹẹkan. O ti wa ni ṣee ṣe lati fi awọn esi ti awọn ti isiyi akitiyan ati ki o pada o. Ni irọrun lati ko nikan lo ẹni-kẹta plug-ins, sugbon tun lati kọ ara rẹ.

Awọn IwUlO ni o ni awọn oniwe-ara ayaworan ni wiwo olumulo, ti o jẹ laiseaniani rọrun, paapa fun alakobere awọn olumulo.

SQLmap

Jasi julọ rọrun ati awọn alagbara ọpa fun wiwa SQL ati XSS vulnerabilities. Akojö awọn oniwe-anfani le wa ni kosile bi:

• Support fere gbogbo iru database isakoso awọn ọna šiše;
• ni agbara lati lo mefa ipilẹ ona lati mọ awọn ohun elo ati ki SQL-abẹrẹ;
• Awọn olumulo busting mode, wọn Hashes, awọn ọrọigbaniwọle ati awọn miiran data.

Ṣaaju lilo SQLmap maa akọkọ ri a ipalara ojula nipasẹ a dork - òfo ìbéèrè àwárí enjini lati ran o igbo jade awọn ifoju oro pataki ayelujara.

Ki o si awọn adirẹsi ti awọn iwe ti wa ni gbe si awọn eto, ati awọn ti o inspects. Ti o ba ti aseyori, awọn definition ti palara IwUlO le ara ati awọn oniwe lilo lati jèrè full wiwọle si awọn oluşewadi.

Webslayer

A kekere IwUlO ti o fun laaye lati kolu ṣa ti agbara. Le "ṣa ti agbara" iwa ti aye, awọn igba sile ti awọn ojula. O atilẹyin olona-threading, eyi ti o ni ipa lori awọn išẹ jẹ o tayọ. O le tun yan awọn ọrọigbaniwọle recursively iteeye ojúewé. Nibẹ ni a aṣoju support.

Resources fun yiyewo

Ni awọn nẹtiwọki nibẹ ni o wa orisirisi awọn irinṣẹ lati se idanwo awọn palara ti online ojula:

• coder-diary.ru. Simple ojula fun igbeyewo. O kan tẹ adirẹsi, awọn oluşewadi ki o si tẹ lori "Ṣayẹwo". Awọn àwárí le gba igba pipẹ, ki o le pato adirẹsi imeeli rẹ ni ibere lati wa ni opin awọn esi taara ninu duroa igbeyewo. nibẹ ni o wa nipa 2,500 mọ vulnerabilities ni awọn ojula.
• https://cryptoreport.websecurity.symantec.com/checker/. Online Service ayẹwo fun SSL ati TLS ijẹrisi lati awọn ile-Symantec. O nilo nikan ni adirẹsi, awọn oluşewadi.
• https://find-xss.net/scanner/. Ise agbese ni a lọtọ PHP file léraléra awọn aaye ayelujara fun vulnerabilities tabi ZIP pamosi. O le pato awọn orisi ti awọn faili to wa ni ti ṣayẹwo ati awọn aami, ti o ti wa ni dáàbọ nipasẹ awọn data ninu awọn akosile.
• http://insafety.org/scanner.php. Scanner lati se idanwo ojula lori Syeed "1C-Bitrix". Simple ati ogbon inu ni wiwo.

Awọn alugoridimu fun Antivirus fun vulnerabilities

Eyikeyi nẹtiwọki aabo PATAKI ṣe a ayẹwo lori kan ti o rọrun alugoridimu:

1. Ni igba akọkọ ti o pẹlu ọwọ tabi nipa lilo aládàáṣiṣẹ irinṣẹ itupalẹ boya nibẹ ni o wa eyikeyi online palara. Ti o ba ti bẹẹni, ki o si ipinnu wọn iru.
2. Da lori awọn eya bayi palara duro siwaju e. Fun apẹẹrẹ, ti o ba ti a mọ awọn CMS, ki o si yiyan awọn yẹ ọna ti kolu. Ti o ba jẹ a SQL-abẹrẹ, awọn ti a ti yan yoowu ti si awọn database.
3. Awọn ifilelẹ ti awọn ohun ni lati gba anfani wiwọle si awọn Isakoso nronu. Ti o ba ti o je ko ṣee ṣe lati se aseyori iru, boya o tọ lati gbiyanju ati ki o dagba a iro pẹlu awọn ifihan ti rẹ akosile pẹlu awọn tetele gbigbe ti awọn njiya.
4. Ti o ba ti eyikeyi kolu tabi ilaluja kuna, o bẹrẹ gba data: o wa nibẹ diẹ palara eyi ti abawọn ni o wa bayi.
5. Da lori awọn data aabo iwé wí pé awọn ojula eni nipa isoro ati bi o si yanjú wọn.
6. Vulnerabilities ti wa ni eliminated pẹlu ọwọ rẹ tabi pẹlu iranlọwọ ti awọn ẹni-kẹta oluwa.

A diẹ ailewu awọn italolobo

Awon ti o wa ni ara ndagba awọn oniwe-ara aaye ayelujara, yoo ran yi o rọrun awọn italolobo ati ëtan.

Ti nwọle data gbọdọ wa ni filtered ki awọn iwe afọwọkọ tabi yoowu ti ko le ṣiṣe duro-nikan tabi lati fun data lati awọn database.

Lo eka ati ki o lagbara awọn ọrọigbaniwọle lati wọle si awọn isakoso nronu, ni ibere lati yago a ti ṣee ṣe ṣa ti agbara.

Ti o ba ti awọn aaye ayelujara wa ni da lori a ti CMS, o nilo bi ni kete bi fihan afikun, awọn awoṣe ati awọn modulu le wa ni nigbagbogbo mu o ati ki o waye. Ma ṣe apọju awọn ojula pẹlu kobojumu irinše.

Igba ṣayẹwo awọn server àkọọlẹ fun eyikeyi ifura occurrences tabi sise.

Ṣayẹwo ara rẹ Aaye orisirisi scanners ati awọn iṣẹ.

Awọn ti o tọ server iṣeto ni - awọn kiri lati awọn oniwe-idurosinsin ati ailewu isẹ.

Ti o ba ti ṣee ṣe, lo ohun SSL ijẹrisi. Eleyi yoo se interception ti ara ẹni tabi igbekele data laarin awọn olupin ati awọn olumulo.

Ohun èlò fun aabo. O mu ki ori lati fi sori ẹrọ tabi so software lati se ifọle ati ita irokeke.

ipari

The article wa ni tan-rere nipo, sugbon koda o jẹ ko to lati se apejuwe ninu awọn apejuwe gbogbo ise ti nẹtiwọki aabo. Lati bawa pẹlu awọn isoro ti alaye aabo, o jẹ pataki lati iwadi kan pupo ti ohun elo ati awọn itọsọna. Ki o si tun lati ko eko kan ìdìpọ irinṣẹ ati imọ. O le wá imọran ati ki o ran lati ọjọgbọn ile ise ti o pataki ni Pentest ati ayewo ayelujara oro. Biotilejepe awon awọn iṣẹ, ati ki o yoo tan sinu kan ti o dara iye, gbogbo awọn kanna ojula aabo le jẹ Elo siwaju sii gbowolori ni aje ofin ati ni oruko rere.