SEOSERVISE - Защита сайтов от хакеров, защита от взлома.

 
   
 

Главная


 


схема ЧмХХХХ позволяет более компактно представить 16-разрядное слово, чем два ASCII -символа в шестнадцатсричном формате. Создатели вируса-червя Code Red , который по оценкам экспертов обошелся компаниям в $500 млн. и вызвал настоящий хаос на Web -серверах IIS , воспользова­ лись системой кодирования Unicode для вставки команд оболочки в запрос к обра­ ботчику ЛСА. Это позволило создать условия для переполнения буфера. Запрос HTTP , генерируемый Code Red , выглядит следующим образом: Обратите внимание на то, как злоумышленники закодировали команды с исполь­зованием 16-разрядной последовательности Unicode . Например, код iu 9090 преоб­разуется к виду 0x90 0x90, что, в свою очередь, означает две пустые инструкции НОР в машинном коде х86 Неправильное использование кода URL Кодирование URL используется для того, чтобы в строке URL можно было приме­ нять символы, отличные от алфавитно-цифровых. Тем самым обеспечивается возмож­ ность использования обычных алфавитно-цифровых символов большинства клавиатур. Применение в URL нестандартных методов кодирования символов делает определенные Web -серверы уязвимыми. Два наиболее серьезных изъяна Web -серверов, о которых ста­ ло известно в последнее время, связаны как раз с ошибками в декодировании URL . Изъян Unicode В октябре 2000 года стало известно о том, что серверы Microsoft IIS уязвимы к так называемой "ошибке Unicode ". Другими словами, некорректное кодирование символа / в формате Unicode позволяло сформировать URL , с помощью которого можно было передать управление за пределы папки Web -документов и вызвать командную оболочку fcmd . exe ) из системного каталога Windows . Такой URL может иметь следующий вид: На рис. 5.2 показано, что могло бы произойти, если бы такой URL был использо­ван в броузере для обращения к узлу 192.168.7.21. Проанализируем эту атаку подробнее. Код— это некорректное представление символа / в формате Unicode . Получив такой URL , Web -сервер интерпретирует этот код Unicode как символ обратной косой черты. Это приводит к обходу серверных средств фильтрации подобных событий, перемещению на два уровня вверх в иерархии каталогов относительно папки / scripts / и запуску командной оболочки / winnt / systen 32/ cmd . exe . Как правило, папка / scripts / расположена в каталоге C :\ inetpub . В обычных условиях Web -сервер никогда бы не позволил из URL обращаться к облас­ти файловой системы, расположенной за пределами каталога Web -документов (в дан­ ном случае C :\ inetpub ). Однако в процессе проверки местоположения каталога Web серверу не удается распознать представление символа / в формате Unicode . На серве­ ре строка .преобразуется в строку, после чего происходит обраще­ ние к ресурсу В результате запускает- сякоманднаяоболочкаС:\л?тп1\8у81етЗ 2\ cmd . exe .

 

 

 

 

 

 
 

1 |2 |3 |4 |5 |6 |7 |8 |9 |10 |11 |12 |13 |14 |15 |16 |17 |18 |19 |20 |21 |22 |23 |24 |25 |26 |27 |28 |29 |30 |31 |32 |33 |34 |35 |36 |37 |38 |39 |40 |41 |42 |43 |44 |45 |46 |47 |48 |49 |50 |51 |52 |53 |54 |55 |56 |57 |58 |59 |60 |61 |62 |63 |64 |65 |66 |67 |68 |69 |70 |71 |72 |73 |74 |75 |76 |77 |78 |79 |80 |81 |82 |83 |84 |85 |86 |87 |88 |89 |90 |91 |92 |93 |94 |95 |96 |97 |98 |99 |100 |