ГлавнаяГлавная / Новости, 201708Новости, 201708 / Эволюция атакЭволюция атак

Эволюция атак

Атаки на веб-приложения открывают широкие возможности для злоумышленников: это и хищение критичной информации или чувствительной информации; нарушение бизнес логики для извлечения финансовой выгоды; также, успешная атака веб-приложения может быть предвестником взлома корпоративной сети компании. В этой статье я расскажу об эволюции атак веб-приложений.


КиТ Будь в СЕТИ!

Будь в СЕТИ! Каталог социальных сетей :: Будь в СЕТИ! - Добавить в избранное KiT - Keep-inTouch :: RSS-лента

Сети :: [Профессиональные] | [Зарубежные] | [Тематические] | [Молодежные] | [Детские] | [Медиа (игры, развлечения)] | [Знакомства] | [Купоны] | [Прочее]

Категории (метки) :: Авто | Музыка | Книги | Хобби | Профессии | Сообщества | Семья | Бизнес | Регионы | Спорт | * Статусы


OWASP TOP 10

Классические уязвимости в данный момент представлены списком OWASP TOP 10:


A1 Внедрение кода A2 Некорректная аутентификация и управление сессией A3 Межсайтовый скриптинг A4 Небезопасные прямые ссылки на объекты A5 Небезопасная конфигурация A6 Утечка чувствительных данных A7 Отсутствие контроля доступа к функциональному уровню A8 Подделка межсайтовых запросов A9 Использование компонентов с известными уязвимостями A10 Невалидированные редиректы

Атаки на веб-приложения применимы к данному списку, но далеко не все распространены повсеместно и встречаются каждый день.


Хорошим примером выявления той или иной уязвимости можно считать the unofficial HackerOne disclosure timeline: . Как мы видим — преобладают SQL-инъекции, client-side атаки и т.д.


Типы атак

Существует два типа атак: нецелевые и таргетированные. Нецелевые "бьют по площадям", и реализуют один-два вектора атак, не всегда реализую цель атаки. Как правило отличаются примитивностью. Мы наблюдаем такие атаки каждый день, представленные в виде эксплуатации той или иной уязвимости, попытки получения доступ к критичным файлам и т.д.


Таргетированные атаки отличает множество векторов, высокий профессионализм атакующих и результативность. Такие составляют примерно 5% от общего числа атак, но по эффективности они гораздо выше нецелевых.


Нецелевые атаки, как правило, автоматизированы и выполняются с помощью различных систем эксплуатации: от сканеров уязвимостей, до самописных скриптов и утилит. Отличаются, как правило, несколькими признаками (User-Agent, вектор применения, диапазон IP). Например попытка выявления /uploadify/uploadify.php — уязвимости в модуле MODX.


Статистика нецелевых атак выглядит следующим образом:
Наиболее популярные атаки:


Попытки выявления SQL Injection: — 85%. Попытки выявления доступа к критичным папкам и файлам: — 7%. Попытки применения известных (нашумевших) эксплоитов — 5%. Попытки внедрения выявления Cross-Site Scripting — 3%.

Это касалось автоматизированных систем. Если сайт атакует злоумышленник, знающий веб-приложение и его уязвимые компоненты — атака становится более точечной и эффективной.


Эволюция атак

Эволюцию атак на веб-приложения можно рассматривать с нескольких ракурсов:


усложнение веб-приложений — как следствие больше возможностей ошибки; усложнение архитектуры — как следствие больше возможностей ошибки; популяризация «кулхакерства» — как следствие больше материала в открытом доступе, больше атак; кажущаяся безнаказанность.

Этические рамки я оставлю вне этой статьи и хочу поговорить о технической стороне.


Появление новых векторов обусловлено использованием новых технологий либо выявлением уязвимостей в старых. Также, часть уязвимостей может оказаться "за бортом" и долгие годы не использоваться, как например XML External Entities: , , массовая эксплуатация началась с 2011-2012 года практически повсеместно, . XXE уязвимости находили (в рамках BugBounty программ) на ресурсах Яндекс, Вконтакте, Uber и многих других.


Другим немаловажным фактором развития векторов атаки служат внедренные защитные средства. Мы установили уязвимое веб-приложение, указав тип уязвимости и защитили веб-приложение сервисом защиты: .



Уязвимый параметр kc_ad. Атакующие в первую очередь пытаются выявить наличие инъекции с помощью символа кавычки, классика жанра:


Уязвимость на сайте присутствует, но проэксплутатироватть сходу ее не удастся, поэтому атакующие применяют техники тамперинга данных для попытки обхода защитных средств:



Такие методы обхода тоже не позволяют проэкспулатировать уязвимость, поэтому атакующие начинают использовать все более изощренные способы evasion-техник (о которых я писал в этой статье: .



Это трансформируется в следующие запросы:



Таким образом можно отметить, что в данный момент эксплуатируются практически все известные уязвимости, с поправкой на внедрение механизмов защиты при разработке приложений, так и на применяемые защитные средства. Также, это обусловлено большим количеством инструментов для проведения атак на веб-приложения.


Меры защиты

В качестве проверки своих навыков по обходу мы предлагаем всем желающим возможность проверить свои силы на (и даже получить вознаграждение, за успешную эксплуатацию вектора атаки).



Мобильный банк «Открытие» назван лучшим в Центральной и Восточной Европе

Банк «Открытие» занял лидирующие позиции в рейтинге ведущих цифровых розничных банков России 2017 года, по версии международного журнала Global Finance. При этом «Открытие» победило сразу в 3 номинациях рейтинга по всему региону Центральной и Восточн...

Россия вошла в десятку стран с самой высокой кибербезопасностью

Исследователи Организации объединенных наций, подготовившие ежегодный доклад Global Cybersecurity Index, вывели Россию на десятое место в способности противостоять киберугрозам. Единственной страной, которая отвечает всем критериям защищенности от х...

Московский интернет вещей потребовал дополнительно 1,5 миллиарда

На модернизацию московской ИТ-системы коммерческого учета тепла, горячей воды и еще ряда коммунальных ресурсов город в ближайшее время дополнительно потратит порядка 1,5 млрд руб. Информация о тендере на модернизацию появилась на сайте госзакупок. За...

Никифоров: отсрочка «закона Яровой» нецелесообразна

Министр связи и массовых коммуникаций РФ Николай Никифоров заявил журналистам, что перенос вступления в силу «закона Яровой» на пять лет нецелесообразен, сообщает РБК....

Рынок стартапов в стагнации: Из-за Трампа никто не покупает дорогие компании

Несмотря на хорошее состояние рынка, большие ИТ-стартапы никто не покупает, сообщает ресурс TechCrunch. С начала нынешнего 2017 г. состоялась всего одна сделка по приобретению «единорога», то есть частной компании стоимостью около или более $1 млрд. ...

Комментарии

Нравится
Счетчики
хостинг от .masterhost Яндекс.Метрика

Главная | Новости | КАТАЛОГ | Контакты