Un estudio de caso en la piratería de aplicaciones web
En este estudio de caso, Caleb Sima, un experto en seguridad de aplicaciones muy conocido, se dedicaba a piratear las aplicaciones web de un cliente. Este ejemplo de descubrir un riesgo de seguridad es una buena advertencia para ayudar a proteger su información privada.
Conteúdo
La situacion
Sr. Sima fue contratado para llevar a cabo una prueba de penetración de aplicaciones web para evaluar la seguridad de un sitio web financiero conocido. Equipado con nada más que la dirección URL del sitio principal financiera, el Sr. Sima se dispuso a encontrar lo que existían otros sitios para la organización y comenzaron utilizando Google para buscar posibilidades.
Sr. Sima inicialmente publicó un escaneo automatizado en contra de los principales servidores de descubrir cualquier fruta madura. Esta exploración proporciona información sobre la versión del servidor web y otra información básica pero nada que resultó útil sin más investigación. Mientras que el Sr. Sima realizó el análisis, ni el IDS ni el firewall notaron nada de su actividad.
Entonces el señor Sima emitió una solicitud al servidor de la página web inicial, que devolvió algo de información interesante. La aplicación web parecía estar aceptando muchos parámetros, pero como el Sr. Sima continuó navegar por el sitio, se dio cuenta de que los parámetros de la URL se mantuvo igual.
Sr. Sima decidió suprimir todos los parámetros dentro de la URL para ver qué información sería devolver el servidor cuando se les pregunta. El servidor responde con un mensaje de error que describe el tipo de entorno de aplicación.
A continuación, el Sr. Sima realizó una búsqueda en Google en la solicitud que dio lugar a algún tipo de documentación detallada. Sr. Sima encontraron artículos y notas técnicas varias dentro de esta información que le mostró cómo la aplicación funcionó y lo que por defecto puede existir archivos. De hecho, el servidor tenía varios de estos archivos predeterminados.
Sr. Sima usa esta información para probar la aplicación adicional. Rápidamente descubrió direcciones IP internas y qué servicios ofrecía la aplicación. Tan pronto como el Sr. Sima sabía exactamente qué versión se ejecuta el administrador, que quería ver qué más podía encontrar.
Sr. Sima siguió manipulando la dirección URL de la aplicación mediante la adición de personajes dentro de la declaración para controlar la secuencia de comandos personalizada. Esta técnica le permitió capturar todos los archivos de código fuente. Sr. Sima señalar algunos nombres de archivos interesantes, incluyendo VerifyLogin.htm, ApplicationDetail.htm, CreditReport.htm, y ChangePassword.htm.
Entonces el señor Sima trató de conectarse a cada archivo mediante la emisión de una URL con un formato especial en el servidor. El servidor devolvió una Usuario no registrado mensaje para cada solicitud y declaró que la conexión debe hacerse a partir de la intranet.
El resultado
Sr. Sima sabía dónde se encuentran los archivos y pudo oler la conexión y determinar que el ApplicationDetail.htm archivo establece una cadena de galletas. Con poca manipulación de la URL, el Sr. Sima sacó la lotería. Este archivo regresó de información de clientes y tarjetas de crédito cuando se está procesando una nueva aplicación cliente. CreditReport.htm permitió que el Sr. Sima para ver el estado informe de crédito del cliente, información de fraude, disminuido la aplicación de estado, y otra información sensible.
La lección: Los hackers pueden utilizar muchos tipos de información para romper a través de aplicaciones web. Las hazañas individuales en este caso de estudio fueron menores, pero cuando se combinan, que dieron lugar a vulnerabilidades graves.
Caleb Sima era un miembro fundador del equipo X-Force de Internet Security Systems y fue el primer miembro del equipo de pruebas de penetración. Sr. Sima pasó a co-fundar SPI Dynamics (posteriormente adquirida por HP) y convertirse en su director de tecnología, así como director de SPI Labs, el grupo de investigación y desarrollo de aplicaciones, la seguridad dentro de SPI Dynamics.
-
Un estudio de caso en cómo los hackers utilizan la ingeniería social - Un estudio de caso en la vulnerabilidad de la seguridad de base de datos
- Guión predeterminado hacks en aplicaciones web
-
Cómo detectar y prevenir cortes de salto de directorio - Cómo utilizar editores hexadecimales para identificar las vulnerabilidades de hacking
- Mac información del servidor OS X Lion clave debe guardar
Cisco Networking: capa del modelo OSI 7 - La capa de aplicación es el nivel más alto en el modelo de interconexión de sistemas abiertos (OSI) y es el nivel que está más cerca de usted - o más lejos de usted si usted está en el otro extremo de la conexión. La capa de aplicación se…
Conceptos básicos de red: TCP / UDP y toma panorámica de puerto Para administrar la conexión entre los protocolos de capa de aplicación de red, TCP y puertos UDP uso y enchufes. TCP y UDP operan en la capa de host a host en el modelo de comunicación IP y proporcionan servicios de comunicación de host a host…
Aplicaciones de dispositivos móviles básicos y seguridad Las variables que afectarán a su estrategia de seguridad de dispositivos móviles son las aplicaciones que se ejecutan en estos dispositivos. Cada tipo de aplicación viene con su propio conjunto de problemas de seguridad, tales como la capacidad…
Seguridad de las aplicaciones de dispositivos móviles para empresas en los dispositivos BlackBerry Como administrador de la empresa, puede controlar qué aplicaciones se pueden implementar en los dispositivos BlackBerry de sus empleados. BlackBerry Enterprise Server (BES) es una solución líder en gestión de dispositivos móviles para…
Conceptos básicos de aplicaciones de varios niveles en 12c oráculo Oracle 12c da cuenta de que maplicaciones ulti-tier son el estándar actual de la industria y componer web múltiples, aplicaciones y servidores de bases que proporcionan contenido a los clientes ligeros con la presentación a través de un…
Atención al cliente para el servidor de libreta de direcciones en león Mac y dispositivos iOS de Apple han incorporado soporte para la Libreta de direcciones del servidor en León, que utiliza un estándar abierto, CardDAV, comunicar. Como CalDAV para iCal Server, CardDAV se basa en WebDAV y protocolo de transferencia…
Cómo configurar león clientes VPN servidor Mac, Windows, Linux y dispositivos iOS todos pueden conectarse a su red a través de VPN de Lion Server. Clientes Mac OS X y dispositivos iOS pueden tomar ventaja de Administrador de perfiles para obtener la configuración VPN detallada la…
Sharepoint 2010 funciones de servidor Dependiendo del tamaño de su implementación de SharePoint 2100, puede tener uno o más servidores de SharePoint asignados para servir a propósitos específicos, o papeles, entre ellos los siguientes:Servidor web: Este servidor (también conocido…
Acceder a Internet con el dispositivo iOS Un dispositivo iOS puede acceder a sitios web y servidores en Internet a través de Wi-Fi o 3G o 4G servicios opcionales. Este acceso a Internet le da la capacidad de crear aplicaciones que pueden proporcionar información en tiempo real. Una…
Cómo proteger su servidor Como desarrollador web, es necesario para asegurar que su aplicación web es seguro. Si usted también está realizando tareas de administración en el servidor, entonces usted necesita para asegurar el servidor también. El servidor en sí debe ser…
Aplicaciones PHP seguras con suexec Si la aplicación se ejecuta en Apache (como más de la mitad de los sitios web en Internet lo hacen), es posible que desee considerar que permite SuExec en la configuración de Apache. SuExec es un mecanismo que se incluye con Apache que causa…
Dns: lo que es y lo que hace En esencia, el DNS es simplemente una base de datos que vincula nombres significativos (conocido como nombres de host), Como http://microsoft.com, a una dirección IP específica, como 192.168.124.1. Simplemente vincular direcciones a nombres es…