SEOSERVISE - Защита сайтов от хакеров.

 
   
 

Главная


 


" Безопасный " хакинг — атаки с использованием протокола SSL Как правило, в приложениях электронной коммерции конфиденциальные данные передаются с использованием протокола SSL . На его основе между Web -броузером и Web -сервером устанавливается зашифрованное соединение, в рамках которого пере­ даваемые данные защищены от прослушивания. При разработке протокола SSL пре­ следовалась единственная цель: обеспечить невозможность перехвата пакетов с помо­ щью сетевых анализаторов пакетов. С использованием этих средств злоумышленники извлекают из передаваемых данных конфиденциальную информацию. Для выявления вторжений протокол SSL является единственным существенным препятствием. В большинстве систем IDS для сбора данных о сетевой деятельности используются средства анализа пакетов. Если передаваемые данные зашифрованы, то их анализ и проверку на "благонадежность" выполнить уже невозможно. Все IDS , ра­ бота которых основана на анализе сетевых пакетов, "не замечают" атаки на базе SSL . Это продемонстрировано на рис. 17.1. скажем х. jsp , то можно обойти внешний Web -сервер, поскольку все файлы . jsp обра­ батываются сервером приложений. Получив такой запрос, сервер приложения выдаст сообщение об ошибке (рис. 6.10). Пример Чтобы проиллюстрировать "возможности" IDS по выявлению атак, основанных на использовании протокола SSL , рассмотрим пример такой атаки на узел под управле­ нием Windows , на котором установлен также Web -сервер IIS 4. O . В рамках примера рассматривается следующая сетевая конфигурация. Сервер IIS прослушивает порты 80 и 443 узла 192.168.7.203. • Система выявления вторжений Snort запущена на узле webspy , прослушиваю­ щем тот же сетевой сегмент, в котором находится и узел 192.168.7.203. • Взломщик* 1 располагается на узле*10.0.0.1. • Взломщик #2 располагается на узле 10.0.0.2. , За время между 9:46 P . M . и 9:53 P . M . против узла 192.166.7.203 было инициирова­ но четыре атаки: две атаки MDAC RDS с узла 10.0.0.1 и две атаки Unicode cmd . exe с узлаЮ.0.0.2. Время Хакер Использование SSL Используемый адрес URL 9:46 P.M. 10.0.0.1 Нет httpt//192.168.7.203/u8adc/msadcs.dll 9:47 P.M. 10.0.0.2 Нет http://192.168.7.203/acripts/.. winnt/system32/cmd.exe?/c+set 9:49P.M. 10.0.0.1 Да httpss//192.168.7.203/msadc/msadc9.dll Как видите, этот прием сработал! Теперь у нас есть сообщение, сгенерированное сервером баз данных Oracle , взаимодействующим с сервером Apache . Это сообщение также содержит путь к каталогу / uOl / prodcoma / portal /, где находятся jsp -файлы.

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |