Σπίτι Προσωπικά Οικονομικά Μια μελέτη περίπτωσης στην πειρατεία των εφαρμογών Web - dummies

Μια μελέτη περίπτωσης στην πειρατεία των εφαρμογών Web - dummies

Πίνακας περιεχομένων:

Βίντεο: Richard Stallman - Ομιλία στην Θεσσαλονίκη 01/06/2010 2024

Βίντεο: Richard Stallman - Ομιλία στην Θεσσαλονίκη 01/06/2010 2024
Anonim

Σε αυτή την περίπτωση, ο Caleb Sima, ένας πολύ γνωστός εμπειρογνώμονας ασφάλειας εφαρμογών, εφαρμογές ιστού του πελάτη. Αυτό το παράδειγμα ανεύρεσης κινδύνου ασφαλείας είναι μια καλή προειδοποιητική ιστορία που βοηθά στην προστασία των προσωπικών σας πληροφοριών.

Η κατάσταση

κ. Ο Sima προσλήφθηκε για να εκτελέσει μια δοκιμή διείσδυσης εφαρμογών ιστού για να αξιολογήσει την ασφάλεια ενός γνωστού οικονομικού ιστότοπου. Εξοπλισμένο με τίποτα περισσότερο από τη διεύθυνση URL του κύριου χρηματοοικονομικού χώρου, ο κ. Sima ξεκίνησε να βρει ποια άλλα sites υπήρχαν για τον οργανισμό και ξεκίνησε χρησιμοποιώντας τη Google για να αναζητήσει δυνατότητες.

κ. Ο Sima έτρεξε αρχικά μια αυτοματοποιημένη σάρωση στους κύριους διακομιστές για να ανακαλύψει οτιδήποτε φρούτα χαμηλής ανάρτησης. Αυτή η σάρωση παρέσχε πληροφορίες σχετικά με την έκδοση του διακομιστή ιστού και κάποιες άλλες βασικές πληροφορίες, αλλά τίποτα που αποδείχθηκε χρήσιμο χωρίς περαιτέρω έρευνα. Ενώ ο κ. Sima πραγματοποίησε τη σάρωση, ούτε το IDS ούτε το τείχος προστασίας σημείωσαν κάποια δραστηριότητα.

Στη συνέχεια, ο κ. Sima εξέδωσε ένα αίτημα στο διακομιστή στην αρχική ιστοσελίδα, η οποία επέστρεψε μερικές ενδιαφέρουσες πληροφορίες. Η εφαρμογή Ιστού φαίνεται να δέχεται πολλές παραμέτρους, αλλά καθώς ο κ. Sima συνέχισε να περιηγεί στον ιστότοπο, παρατήρησε ότι οι παράμετροι στη διεύθυνση URL παρέμειναν οι ίδιες.

κ. Η Sima αποφάσισε να διαγράψει όλες τις παραμέτρους εντός της διεύθυνσης URL για να δει ποιες πληροφορίες θα επιστρέψει ο διακομιστής όταν ερωτηθεί. Ο διακομιστής απάντησε με ένα μήνυμα σφάλματος που περιγράφει τον τύπο περιβάλλοντος εφαρμογής.

Στη συνέχεια, ο κ. Sima πραγματοποίησε αναζήτηση Google σχετικά με την εφαρμογή που οδήγησε σε κάποια λεπτομερή τεκμηρίωση. Ο κ. Sima βρήκε αρκετά άρθρα και τεχνολογικές σημειώσεις μέσα σε αυτές τις πληροφορίες που του έδειξαν πώς λειτουργεί η εφαρμογή και ποια προεπιλεγμένα αρχεία μπορεί να υπάρχουν. Στην πραγματικότητα, ο διακομιστής είχε πολλά από αυτά τα προεπιλεγμένα αρχεία.

κ. Ο Sima χρησιμοποίησε αυτές τις πληροφορίες για να διερευνήσει περαιτέρω την εφαρμογή. Ανακάλυψε γρήγορα τις εσωτερικές διευθύνσεις IP και τις υπηρεσίες που προσφέρει η εφαρμογή. Μόλις ο κ. Sima ήξερε ακριβώς ποια έκδοση διέθετε ο διαχειριστής, ήθελε να δει τι άλλο μπορούσε να βρει.

κ. Ο Sima συνέχισε να χειρίζεται τη διεύθυνση URL από την εφαρμογή προσθέτοντας & χαρακτήρες μέσα στη δήλωση για να ελέγξει το προσαρμοσμένο σενάριο. Αυτή η τεχνική του επέτρεψε να συλλάβει όλα τα αρχεία πηγαίου κώδικα. Ο κ. Sima σημείωσε μερικά ενδιαφέροντα ονόματα αρχείων, συμπεριλαμβανομένου του VerifyLogin. htm, ApplicationDetail. htm, CreditReport. htm και ChangePassword. htm.

Στη συνέχεια, ο κ. Sima προσπάθησε να συνδεθεί με κάθε αρχείο, εκδίδοντας ένα ειδικά διαμορφωμένο URL στο διακομιστή.Ο διακομιστής επέστρεψε ένα μήνυμα χρήστη που δεν ήταν συνδεδεμένο για κάθε αίτηση και δήλωσε ότι η σύνδεση πρέπει να γίνει από το intranet.

Το αποτέλεσμα

κ. Ο Sima ήξερε πού εντοπίστηκαν τα αρχεία και μπόρεσε να ξεγελάσει τη σύνδεση και να προσδιορίσει ότι το ApplicationDetail. Το αρχείο htm ορίζει μια συμβολοσειρά cookie. Με λίγο χειρισμό της διεύθυνσης URL, ο κ. Sima χτύπησε το τζάκποτ. Αυτό το αρχείο επέστρεψε πληροφορίες πελάτη και πιστωτικές κάρτες όταν μια νέα αίτηση πελάτη ήταν υπό επεξεργασία. CreditReport. Το htm επέτρεψε στον κ. Sima να βλέπει την κατάσταση της έκθεσης σχετικά με την πιστοληπτική ικανότητα των πελατών, τις πληροφορίες για την απάτη, την κατάσταση των απορριφθεισών αιτήσεων και άλλες ευαίσθητες πληροφορίες.

Το μάθημα: Οι χάκερ μπορούν να χρησιμοποιήσουν πολλούς τύπους πληροφοριών για να σπάσουν τις εφαρμογές ιστού. Τα μεμονωμένα εκμεταλλεύματα σε αυτή την περίπτωση ήταν μικρά, αλλά όταν συνδυάστηκαν, είχαν ως αποτέλεσμα σοβαρά τρωτά σημεία.

Ο Caleb Sima ήταν μέλος της ομάδας X-Force στο Internet Security Systems και ήταν το πρώτο μέλος της ομάδας δοκιμών διείσδυσης. Ο κ. Sima συνέχισε την ίδρυση του SPI Dynamics (που αργότερα αποκτήθηκε από την HP) και έγινε ο ΚΟΤ του, καθώς και διευθυντής της SPI Labs, της ομάδας έρευνας και ανάπτυξης εφαρμογών ασφάλειας της SPI Dynamics.

Μια μελέτη περίπτωσης στην πειρατεία των εφαρμογών Web - dummies

Η επιλογή των συντακτών

Πώς να γράψετε αποτελεσματικές καμπάνιες ηλεκτρονικού ταχυδρομείου - Dummies

Πώς να γράψετε αποτελεσματικές καμπάνιες ηλεκτρονικού ταχυδρομείου - Dummies

Τέχνη - και μια επιστήμη. Χιλιάδες άρθρα έχουν γραφτεί μόνο για τη σύνταξη γραμμών θέματος ηλεκτρονικού ταχυδρομείου. Και πάνω από αυτό, αυτό που γράφετε για ενημερωτικό ενημερωτικό δελτίο θα είναι πολύ διαφορετικό από το εάν γράφετε ενημερωτικά δελτία για την πώληση πράγματα. Πρέπει να δοκιμάσετε ένα ...

Πώς μπορεί να εμπλακεί η επιχείρησή σας με τα Social Media - ανδρείκελα

Πώς μπορεί να εμπλακεί η επιχείρησή σας με τα Social Media - ανδρείκελα

. Στην αφοσίωση των κοινωνικών μέσων (ΜΜΕ), η εταιρεία ή ο οργανισμός σας μπορεί να είναι ένας από τους συμμετέχοντες. "Αλλά μια εταιρεία δεν είναι ένα άτομο", μπορείτε να πείτε. Αληθής. Ως εκ τούτου, η πρόκλησή σας είναι να κάνετε την εταιρεία σας - μια εταιρική οντότητα ή το εμπορικό σήμα που την αντιπροσωπεύει - πιο ανθρώπινη ...

Πώς να χρησιμοποιήσετε τις ρυθμίσεις WordPress για το Blog σας - ανδρείκελα

Πώς να χρησιμοποιήσετε τις ρυθμίσεις WordPress για το Blog σας - ανδρείκελα

Μπορείτε να συνδεθείτε στο λογαριασμό διαχειριστή του WordPress και να ρίξετε μια ματιά. Το λογισμικό WordPress κάνει πολύ σωστά από το κουτί για να κάνει τη ζωή σας στον blogging όσο το δυνατόν πιο απλή. Πώς να συνδεθείτε στο ιστολόγιό σας Για να μπορέσετε να ξεκινήσετε την ανάρτηση, μπορείτε ...

Η επιλογή των συντακτών

Προειδοποιήσεις για χρήστες Big Data Cloud - ανδρείκελα

Προειδοποιήσεις για χρήστες Big Data Cloud - ανδρείκελα

Προειδοποίηση! Οι υπηρεσίες που βασίζονται σε σύννεφο μπορούν να σας δώσουν μια οικονομική λύση στις μεγάλες ανάγκες σας για δεδομένα, αλλά το σύννεφο έχει τα προβλήματά του. Είναι σημαντικό να κάνετε την εργασία σας πριν μετακινήσετε τα μεγάλα δεδομένα σας εκεί. Ακολουθούν ορισμένα θέματα που πρέπει να λάβετε υπόψη: Ακεραιότητα δεδομένων: Πρέπει να βεβαιωθείτε ότι ο πάροχός σας έχει τους σωστούς ελέγχους που υπάρχουν για να εξασφαλίσετε ...

Προβολή Εξωτερικών Δεδομένων από Προοπτική Χρήστη - Dummies

Προβολή Εξωτερικών Δεδομένων από Προοπτική Χρήστη - Dummies

Εδώ περιγράφεται ο τρόπος με τον οποίο ένας χρήστης αποθήκης δεδομένων βλέπει εξωτερικά δεδομένα και τη σημασία της. Εξετάστε αυτούς τους δύο πίνακες. Αυτός ο πίνακας παρουσιάζει την απόδοση των πωλήσεων για την εταιρεία Good Guys, Inc. και στον παρακάτω πίνακα παρουσιάζονται οι επιδόσεις πωλήσεων των ανταγωνιστικών εταιρειών Bad Guys, Inc. Αποτελέσματα Αποτελεσμάτων Πωλήσεων 2007 Q1 Αποτελέσματα 2008 Q1 ...

Ποια λειτουργία παρέχει ένα εργαλείο ερωτήσεων και αναφοράς; - ανδρείκελα

Ποια λειτουργία παρέχει ένα εργαλείο ερωτήσεων και αναφοράς; - ανδρείκελα

Για να σας βοηθήσουν να κατανοήσετε τη λειτουργικότητα που προσφέρει ένα εργαλείο αναζήτησης και αναφοράς, αυτή η λίστα περιγράφει μερικές από τις εργασίες που μπορούν να σας βοηθήσουν: Εκτελέστε τακτικές αναφορές. Ο οργανισμός σας μπορεί να παράγει τακτικά τυποποιημένες αναφορές που προέρχονται από λειτουργικό σύστημα ή από δεδομένα που εξάγονται από ένα ή περισσότερα από αυτά τα συστήματα. Δημιουργία οργανωμένων καταχωρήσεων. ...

Η επιλογή των συντακτών

Πώς να χρησιμοποιήσετε τα επιχειρήματα για να βελτιώσετε τη σχέση σας - Dummies

Πώς να χρησιμοποιήσετε τα επιχειρήματα για να βελτιώσετε τη σχέση σας - Dummies

Στο χέρι με αγάπη και αγάπη. Αλλά με την τεχνική Make-A-Deal του Dr. Kate, μπορείτε να διευθετήσετε τις διαφωνίες και να πλησιάσετε στη διαδικασία. Ακολουθήστε τα εξής βήματα: Κάντε μια ημερομηνία για να μιλήσετε για το πρόβλημα, επιλέγοντας τον βέλτιστο χρόνο και τόπο. Κάντε ερωτήσεις σχετικά με τις σκέψεις και τα συναισθήματα του συντρόφου σας ...

Πώς να φλερτάρουν να δείχνουν ενδιαφέρον για κάποιον - ανδρείκελα

Πώς να φλερτάρουν να δείχνουν ενδιαφέρον για κάποιον - ανδρείκελα

Υπάρχουν πολλές λεπτές τεχνικές φλερτ σας ενδιαφέρει. Είτε είστε ελκυσμένος από έναν ξένο σε ένα τρένο, έναν συνάδελφο, ή έναν από τους φίλους σας, υπάρχει ένα σήμα για κάθε περίσταση. Ξεκινήστε με μη επικίνδυνα και πιο λεπτές ενδείξεις για να δημιουργήσετε την εμπιστοσύνη σας και να σας βοηθήσουμε να προχωρήσετε στην έναρξη μιας συνομιλίας. ...

Δημιουργία Συνδεδεμένων Συνδέσεων μέσω Φίλων - Dummies

Δημιουργία Συνδεδεμένων Συνδέσεων μέσω Φίλων - Dummies

Copyright © 2014 AARP. Ολα τα δικαιώματα διατηρούνται. Αν δεχτείτε την πρόταση ότι οι δελεαστικοί και εξαιρετικοί άνθρωποι άνω των 50 ετών επανεισάγουν τον κόσμο που χρονολογείται όπως ακριβώς είστε, τότε το επόμενο πράγμα που πρέπει να λύσετε είναι το πού θα τα βρείτε. Ευτυχώς, έχετε διάφορες διαδρομές για να ταξιδέψετε, μερικές ή όλες από τις οποίες ...