ГлавнаяГлавная / Новости, 201708Новости, 201708 / Эволюция атакЭволюция атак

Эволюция атак

Атаки на веб-приложения открывают широкие возможности для злоумышленников: это и хищение критичной информации или чувствительной информации; нарушение бизнес логики для извлечения финансовой выгоды; также, успешная атака веб-приложения может быть предвестником взлома корпоративной сети компании. В этой статье я расскажу об эволюции атак веб-приложений.


КиТ Будь в СЕТИ!

Будь в СЕТИ! Каталог социальных сетей :: Будь в СЕТИ! - Добавить в избранное KiT - Keep-inTouch :: RSS-лента

Сети :: [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Медиа (игры, развлечения)] | [Знакомства] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | * Статусы


OWASP TOP 10

Классические уязвимости в данный момент представлены списком OWASP TOP 10:


A1 Внедрение кода A2 Некорректная аутентификация и управление сессией A3 Межсайтовый скриптинг A4 Небезопасные прямые ссылки на объекты A5 Небезопасная конфигурация A6 Утечка чувствительных данных A7 Отсутствие контроля доступа к функциональному уровню A8 Подделка межсайтовых запросов A9 Использование компонентов с известными уязвимостями A10 Невалидированные редиректы

Атаки на веб-приложения применимы к данному списку, но далеко не все распространены повсеместно и встречаются каждый день.


Хорошим примером выявления той или иной уязвимости можно считать the unofficial HackerOne disclosure timeline: . Как мы видим — преобладают SQL-инъекции, client-side атаки и т.д.


Типы атак

Существует два типа атак: нецелевые и таргетированные. Нецелевые "бьют по площадям", и реализуют один-два вектора атак, не всегда реализую цель атаки. Как правило отличаются примитивностью. Мы наблюдаем такие атаки каждый день, представленные в виде эксплуатации той или иной уязвимости, попытки получения доступ к критичным файлам и т.д.


Таргетированные атаки отличает множество векторов, высокий профессионализм атакующих и результативность. Такие составляют примерно 5% от общего числа атак, но по эффективности они гораздо выше нецелевых.


Нецелевые атаки, как правило, автоматизированы и выполняются с помощью различных систем эксплуатации: от сканеров уязвимостей, до самописных скриптов и утилит. Отличаются, как правило, несколькими признаками (User-Agent, вектор применения, диапазон IP). Например попытка выявления /uploadify/uploadify.php — уязвимости в модуле MODX.


Статистика нецелевых атак выглядит следующим образом:
Наиболее популярные атаки:


Попытки выявления SQL Injection: — 85%. Попытки выявления доступа к критичным папкам и файлам: — 7%. Попытки применения известных (нашумевших) эксплоитов — 5%. Попытки внедрения выявления Cross-Site Scripting — 3%.

Это касалось автоматизированных систем. Если сайт атакует злоумышленник, знающий веб-приложение и его уязвимые компоненты — атака становится более точечной и эффективной.


Эволюция атак

Эволюцию атак на веб-приложения можно рассматривать с нескольких ракурсов:


усложнение веб-приложений — как следствие больше возможностей ошибки; усложнение архитектуры — как следствие больше возможностей ошибки; популяризация «кулхакерства» — как следствие больше материала в открытом доступе, больше атак; кажущаяся безнаказанность.

Этические рамки я оставлю вне этой статьи и хочу поговорить о технической стороне.


Появление новых векторов обусловлено использованием новых технологий либо выявлением уязвимостей в старых. Также, часть уязвимостей может оказаться "за бортом" и долгие годы не использоваться, как например XML External Entities: , , массовая эксплуатация началась с 2011-2012 года практически повсеместно, . XXE уязвимости находили (в рамках BugBounty программ) на ресурсах Яндекс, Вконтакте, Uber и многих других.


Другим немаловажным фактором развития векторов атаки служат внедренные защитные средства. Мы установили уязвимое веб-приложение, указав тип уязвимости и защитили веб-приложение сервисом защиты: .



Уязвимый параметр kc_ad. Атакующие в первую очередь пытаются выявить наличие инъекции с помощью символа кавычки, классика жанра:


Уязвимость на сайте присутствует, но проэксплутатироватть сходу ее не удастся, поэтому атакующие применяют техники тамперинга данных для попытки обхода защитных средств:



Такие методы обхода тоже не позволяют проэкспулатировать уязвимость, поэтому атакующие начинают использовать все более изощренные способы evasion-техник (о которых я писал в этой статье: .



Это трансформируется в следующие запросы:



Таким образом можно отметить, что в данный момент эксплуатируются практически все известные уязвимости, с поправкой на внедрение механизмов защиты при разработке приложений, так и на применяемые защитные средства. Также, это обусловлено большим количеством инструментов для проведения атак на веб-приложения.


Меры защиты

В качестве проверки своих навыков по обходу мы предлагаем всем желающим возможность проверить свои силы на (и даже получить вознаграждение, за успешную эксплуатацию вектора атаки).



Создан троян-шифровальщик, позволяющий заработать всем желающим

Эксперты по безопасности выявили новый ресурс, позволяющий распространять шифровальщики-вымогатели всем желающим. За свои услуги RaaS-сервис Saturn берет 30% комиссии....

Минкультуры предлагает блокировать пиратские сайты без суда

Минкультуры хочет ужесточить борьбу с пиратскими сайтами. По предложению ведомства, если с владельцами ресурсов не удается связаться, сайты следует блокировать без судебного разбирательства. Правообладатель может обратиться за блокировкой к хостинг-...

Microsoft вступила в борьбу со словом Windows

Microsoft распорядилась изъять из магазина приложений Microsoft Store программные продукты, в названии которых содержится слово «Windows». Причина — нарушение авторских прав на этот товарный знак. Разработчики таких приложений уже получили от юристов...

Слух: Microsoft может купить Valve, создателя игровой платформы Steam

Сайт Polygon сообщил, что в корпорации Microsoft, похоже, ведут переговоры о покупке Valve, оператора игровой платформы Steam, чтобы резко увеличить свою часть рынка игр для ПК, на котором Microsoft, успешный поставщик игровой консоли Xbox, малозаме...

Возрожден культовый плеер Winamp

Американский разработчик Джордан Элдредж (Jordan Eldredge) воссоздал некогда сверхпопулярный проигрыватель Winamp в виде браузерной версии. Ее код, написанный на JavaScript и отличающийся от кода оригинального плеера, был выложен на ресурсе GitHub. Т...

Комментарии

Нравится
Счетчики
хостинг от .masterhost Яндекс.Метрика

Главная | Новости | КАТАЛОГ | Контакты