Средства взлома Web-приложений Hacking Tools
Пример из жизни. Обнаружение попыток вторжения
Как администратор, вы, должно быть, сканируете свои Web-серверы на уязвимость. Это часть вашей рутинной работы. Всегда лучше обнаружить собственные уязвимости до того, как это сделает кто-либо другой. С другой стороны, откуда вы можете знать, что кто-то использует эти средства против вас? Конечно, может помочь IDS, но у IDS есть несколько недостатков: они не могут справиться с высоким диапазоном частот, полагаются на свойство сопоставления с образцом, не могут (в большинстве) видеть закодированные потоки SSL. Кроме того, они дороги. Ответ в данном случае - обратитесь к своим файлам протоколов (logfiles). Вы же включили журнализацию на своем Web-сервере, не так ли?
Общие автографы. Файлы протоколов (Logfiles) - это средство безопасности. Они реакционны, а это означает, что если вы увидите автограф взлома в своем файле, то знаете, что вы уже атакованы. Если атака подвергла сервер риску, протоколы Web будут первым местом, куда следует обратиться, чтобы воссоздать события. Протоколы также помогают администраторам и программистам проследить ошибки и поврежденные страницы на Web-сайте - это необходимо для поддержания стабильности Web-сервера. Помня об этом, вы должны практиковать регистрацию на Web-сервере и сбор файлов протоколов (logfiles), просматривать их и архивировать.
В следующей таблице перечисляются некоторые позиции, на которые следует обращать внимание при проведении обзора протоколов. Многие из этих проверок могут быть автоматизированы при помощи такого простого средства, как grep.
Помните, что IIS записывает URL в конечном разобранном формате. Например, атака на прохождение директории Unicode появляется как /scripts/..A..A..Acmd .exe?/c+dir, где файл протокола Apache захватывает необработанный запрос /scripts/ ..%c0%af..%c0%af..%c0%afcmd.exe?/c+dir?. При регистрации IIS убедитесь, что опции для записи uri-stem и uri-query выключены.
Stealth
Эта программа работает под Windows с графическим интерфейсом пользователя, и поэтому не обладает, в отличие от whisker возможностями кросс-платформенного использования. Stealth располагает большим количеством тестов и имеет легко расширяемую базу данных. В настоящее время в базе данных программы находится около 13000 тестов, правда, только 5000 из них являются уникальными. Эти тесты были получены в результате сканирования большого количества устройств, имеющих встроенные Web-серверы, обладающих наиболее распространенными типами уязвимостей, свойственных IIS.
Реализация
На рис. 8.1 приведен вид интерфейса для сканирования одного IP-адреса. По умолчанию Stealth использует "нормальное" правило сканирования, которое содержит около 6500 тестов. Эта страница открывается с помощью кнопки Scanner в окне приложения Stealth.
Stealth может сканировать несколько Web-серверов. Тем не менее, как показано на рис. 8.2, для этого должен быть задан список последовательных IP-адресов. Это существенно замедляет сканирование, поскольку программа сначала должна определить Web-сервер, а затем осуществлять его сканирование. Если серверы распределены по сети, то это еще сильнее замедляет процесс.
Еще немного о сканировании нескольких Web-серверов: программа постоянно фиксирует ошибки, выдает сообщения об ошибках, требующих, чтобы их закрывали вручную. Короче, Stealth - не лучшее средство для сканирования многих серверов одновременно.
Кнопка IDS Test работает аналогично технике обхода IDS у whisker. Выберите, какую политику вы предпочитаете использовать, а затем отметьте параметр CGI Setup | Use IDS Evasion. На рис. 8.3 показано, как включить обход IDS.
Как только Stealth завершит сканирование, он выдаст запрос на сохранение результатов. Результаты сканирования представляют собой HTML-файл, в котором перечислены все возможные уязвимости, которые были найдены. Stealth - быстрое и простое средство, которое позволяет выполнить 6500 тестов для Web-сервера одновременно.
