Um Estudo de Caso na Hacking de Aplicações Web
Neste estudo de caso, Caleb Sima, um especialista em segurança de aplicativo bem conhecido, foi contratado para cortar aplicações web de um cliente. Este exemplo de descoberta de um risco de segurança é um bom conto preventivo para ajudar a proteger suas informações privadas.
A situação
Mr. Sima foi contratado para executar um teste de penetração de aplicações web para avaliar a segurança de um site financeiro bem conhecido. Equipado com nada mais do que a URL do site principal financeira, o Sr. Sima estabelecidos para encontrar o que outros sites existia para a organização e começou usando o Google para pesquisar possibilidades.
Mr. Sima inicialmente correu uma varredura automática contra os principais servidores de descobrir qualquer fruto maduro. Essa verificação forneceram informações sobre a versão do servidor web e algumas outras informações básicas, mas nada que se mostrou útil, sem mais pesquisas. Enquanto o Sr. Sima realizada a verificação, nem o IDS nem o firewall notou alguma da sua actividade.
Em seguida, o Sr. Sima emitiu uma solicitação para o servidor na página web inicial, que retornou algumas informações interessantes. A aplicação web parecia estar aceitando muitos parâmetros, mas como o Sr. Sima continuou a navegar no site, ele notou que os parâmetros na URL permaneceu o mesmo.
Mr. Sima decidiu suprimir todos os parâmetros dentro do URL para ver as informações que o servidor retornaria quando consultado. O servidor respondeu com uma mensagem de erro descrevendo o tipo de ambiente de aplicação.
Em seguida, o Sr. Sima realizaram uma pesquisa no Google sobre o aplicativo que resultou em alguma documentação detalhada. Mr. Sima encontrados artigos e notas técnicas diversas dentro desta informação que lhe mostrou como o aplicativo funcionou eo que padrão arquivos podem existir. Na verdade, o servidor tinha vários destes arquivos padrão.
Mr. Sima usou essa informação para sondar a aplicação ainda mais. Ele rapidamente descobriu endereços IP internos e quais os serviços que o pedido foi oferecendo. Assim que o Sr. Sima sabia exatamente qual a versão que o administrador estava correndo, ele queria ver o que mais ele poderia encontrar.
Mr. Sima continuou a manipular a URL do aplicativo adicionando caracteres dentro da declaração para controlar o script personalizado. Esta técnica permitiu-lhe captar todos os arquivos de código fonte. Mr. Sima observou alguns nomes interessantes, incluindo VerifyLogin.htm, ApplicationDetail.htm, CreditReport.htm, e ChangePassword.htm.
Em seguida, o Sr. Sima tentou ligar para cada arquivo através da emissão de uma URL especialmente formatado para o servidor. O servidor retornou um Usuário não conectado mensagem para cada solicitação e afirmou que a conexão deve ser feita a partir da intranet.
O resultado
Mr. Sima sabia onde os arquivos foram localizados e foi capaz de farejar a conexão e determinar que o ApplicationDetail.htm arquivo definir uma string cookie. Com pouca manipulação da URL, o Sr. Sima bateu o jackpot. Este arquivo retornado de informação aos clientes e cartões de crédito quando um novo aplicativo cliente estava sendo processado. CreditReport.htm permitiu que o Sr. Sima para ver ao cliente o status relatório de crédito, informações fraude, recusou-aplicação de status e outras informações confidenciais.
A lição: Hackers podem utilizar muitos tipos de informações para romper aplicações web. As façanhas individuais neste estudo de caso foram menores, mas quando combinados, eles resultaram em vulnerabilidades graves.
Caleb Sima foi um membro fundador da equipe X-Force na Internet Security Systems e foi o primeiro membro da equipe de testes de penetração. Mr. Sima passou a co-fundar a SPI Dynamics (posteriormente adquirida pela HP) e tornar-se seu CTO, bem como diretor do SPI Labs, o grupo de pesquisa e desenvolvimento-segurança de aplicativos dentro da SPI Dynamics.