A weblap feltöréssel foglalkozó sorozatunk jelenlegi részében az elérési út visszaléptetés, azaz a path traversal sebezhetőséggel foglalkozunk. A hiba nagyon gyakori, és meglehetősen nagy rést nyit a támadók számára.
A következő vizsgált kérdéskör a hozzáférési szintek, és jogosultságok biztonsági kérdései. A weblapok 78%-a sebezhető ezen a módon. A hozzáférési szintek biztonsági kockázata azt jelenti, hogy a támadó hozzáfér egy azonos jogosultsági szinten lévő másik felhasználó adataihoz, vagy egy magasabb jogosultságokkal rendelkező felhasználó számára fenntartott funkciókhoz, adatokhoz.
A session / munkamenet kezelés minden webalkalmazás alapvető eleme. Mivel a http kommunikáció állapot nélküli a session segítségével azonosítjuk a usereket a munkamenet során. E nélkül minden egyes oldalletöltéskor újra és újra be kellene kérni a jelszavát. Azonban a gyengén megvalósított session kezelés tágra tudja nyitni az ajtót az illetéktelen behatolók előtt.
Folytatjuk a hitelesítési modell támadási felületeinek és védekezési eljárásainak feltérképezését. Ahogy az előző részben már szó volt róla sok esetben az a leggyengébb láncszem és igen sokféle támadási felületet ad.
A hacker tanfolyam negyedik részében a hitelesítés megtámadásával fogunk foglalkozni. A weblapok mintegy 67%-ánál található valamiféle biztonsági rés ezen a területen. Valójában a hitelesítés a védekezés frontvonala, de ennek ellenére sokszor a leggyengébb láncszem is.
Hacker tanfolyamunk harmadik részében megkezdjük a támadási és tesztelési módszerek ismertetését. Elsőként a kliens oldali ellenőrzéseket próbáljuk meg kijátszani. A fő szabály amit webfejlesztőként meg kell tanulnunk, hogy a kliens oldali ellenőrzések kizárólag kényelmi eszközök és semmiféleképpen nem alkalmasak biztonsági előlapnak. Ennél fogva mindennemű kliens oldali ellenőrzést meg kell ismételni szerver oldalon is.
Miután megismerkedtünk az alapelvekkel egy oldal feltörésénél az első dolgunk az alkalmazás feltérképezése lesz. A feltérképezés során tulajdonképpen a megtámadható felületeket keressük meg. Két fő dolgunk lesz ennek során. Először is megismerkedünk az alkalmazással és megpróbáljuk a lehető legtöbb háttér információt összeszedni róla, majd második lépésként feltérképezzük a támadási felületeket.
A tömegek életének mind több mozzanatának online irányba való elmozdulásával egyre inkább érzékenyek kell lennünk olyan témákra amelyek eddig esetleg többnyire nem igazán mozgatták meg a fejlesztői fantáziánkat. Az eddig ilyen a webalkalmazások biztonsága. A téma egyre fontosabb és fontosabb lesz és láthatjuk, hogy még az olyan nagyok mint a twitter vagy az amazon is…
Mert a usereket nem is érdekli, hiszen nem gondolják, hogy bármi, mások számára is értékes információkkal rendelkeznek. Mert nem gondolják, hogy támadás célpontjává válhatnak. Mert úgy gondolják, hogy az 123 kellőképpen rafinált. Mert mi fejlesztők hagyjuk, hogy a userek makacsul felelőtlenek legyenek. És mert a megrendelők a biztonságot képtelenek ellenőrizni. Na, ezért születnek olyan webalkalmazások…
Ma egy igen kényes témát szeretnék bemutatni. Kényes mert a biztonsági tanácsok egyben ötletek másoknak arra, hogy hogyan tudnak ténylegesen feltörni oldalakat. Egy webalkalmazás biztonsági tesztelése praktikusan nem jelent mást mint, hogy a webalkalmazás fejlesztője / tesztelője egy rövid időre a támadó bőrébe bújik. Rászántam a hétvégét és egy dologra jöttem rá, egy weblap feltöréséhez…
Gyerek korom óta ki nem állom az oltásokat! És most meglehetősen érdekes URL-en keresztüli beoltási kísérletek zúdulnak éppen a blogomra. A támadó Kínából próbál egy csúnya kódot bejuttatni, de a wordpress eddig jól vizsgázott.
Új technikák megoldanak régi problémákat és hoznak újakat. A web 2 is megold egy több mint 10 éve húzódó problémát és webalkalmazásainkat átlépteti egy következő szintre, de ha nem kellő óvatosággal használjuk, akkor új támadási felületet szolgáltathatunk rosszindulatú látogatóknak.
A biztonságra törekvés azt jelenti, hogy felkészülünk olyan eseményekre amikre nem lehet felkészülni. A webfejlesztők általában nem szeretnek azon gondolkozni, hogy az alkalmazásuk hogyan használható ki. A támadók viszont igen.