Revealed content
Web sunucusu güvenlik açıkları
Web sunucusu, dosyaları (genellikle web sayfalarını) depolayan ve bunları ağ veya internet üzerinden erişilebilir hale getiren bir programdır . Bir web sunucusu hem donanım hem de yazılım gerektirir. Saldırganlar, sunucuya yetkili giriş elde etmek için genellikle yazılımdaki açıkları hedefler. Saldırganların yararlandığı bazı yaygın güvenlik açıklarına bakalım.- Varsayılan ayarlar – Varsayılan kullanıcı kimliği ve parolalar gibi bu ayarlar saldırganlar tarafından kolayca tahmin edilebilir. Varsayılan ayarlar, sunucuda istismar edilebilecek komutları çalıştırmak gibi belirli görevlerin gerçekleştirilmesine de izin verebilir.
- İşletim sistemlerinin ve ağların yanlış yapılandırılması – Kullanıcının iyi bir parolası yoksa, kullanıcıların sunucuda komut yürütmesine izin vermek gibi belirli yapılandırmalar tehlikeli olabilir.
- İşletim sistemi ve web sunucularındaki hatalar – işletim sisteminde veya web sunucusu yazılımında keşfedilen hatalar da sisteme yetkisiz erişim sağlamak için kullanılabilir.
- Güvenlik politikası ve prosedürlerinin olmaması – bir güvenlik politikasının ve virüsten koruma yazılımının güncellenmesi, işletim sisteminin ve web sunucusu yazılımının yamalanması gibi prosedürlerin olmaması, saldırganlar için güvenlik döngüsü delikleri oluşturabilir.
Web Sunucusu Türleri
Aşağıda ortak web sunucularının bir listesi bulunmaktadır.- Apache – Bu, internette yaygın olarak kullanılan web sunucusudur. Çapraz platformdur, ancak genellikle Linux'a kurulur. Çoğu PHP web sitesi Apache sunucularında barındırılır .
- İnternet Bilgi Servisleri (IIS) – Microsoft tarafından geliştirilmiştir. Windows üzerinde çalışır ve internette en çok kullanılan ikinci web sunucusudur. Çoğu asp ve aspx web sitesi IIS sunucularında barındırılır.
- Apache Tomcat – Çoğu Java sunucu sayfası (JSP) web sitesi bu tür web sunucusunda barındırılır.
- Diğer web sunucuları – Bunlara Novell'in Web Sunucusu ve IBM'in Lotus Domino sunucuları dahildir.
Web Sunucularına Karşı Saldırı Türleri
Dizin geçiş saldırıları – Bu tür saldırılar, kamuya açık olmayan dosya ve klasörlere yetkisiz erişim sağlamak için web sunucusundaki hatalardan yararlanır. Saldırgan erişim elde ettikten sonra hassas bilgileri indirebilir, sunucuda komutlar yürütebilir veya kötü amaçlı yazılım yükleyebilir.- Hizmet Reddi Saldırıları – Bu tür bir saldırı ile web sunucusu çökebilir veya meşru kullanıcılar tarafından kullanılamaz hale gelebilir.
- Etki Alanı Adı Sistemini Ele Geçirme – Bu tür saldırganda, DNS ayarı saldırganın web sunucusunu gösterecek şekilde değiştirilir. Web sunucusuna gönderilmesi gereken tüm trafik yanlış olana yönlendirilir.
- Sniffing – Ağ üzerinden gönderilen şifrelenmemiş veriler ele geçirilebilir ve web sunucusuna yetkisiz erişim elde etmek için kullanılabilir.
- Phishing – Bu tür bir saldırı ile saldırı, web sitelerini taklit eder ve trafiği sahte web sitesine yönlendirir. Şüphelenmeyen kullanıcılar, oturum açma bilgileri, kredi kartı numaraları vb. gibi hassas verileri göndermeleri için kandırılabilir.
- Pharming – Bu tür bir saldırı ile saldırgan, trafiğin kötü amaçlı bir siteye yönlendirilmesi için Etki Alanı Adı Sistemi (DNS) sunucularını veya kullanıcı bilgisayarında tehlikeye girer.
- Defacement – Bu tür bir saldırı ile saldırgan, kuruluşun web sitesini bilgisayar korsanının adını, resimlerini içeren ve arka plan müziği ve mesajları içerebilen farklı bir sayfayla değiştirir.
Başarılı saldırıların etkileri
- Saldırgan web sitesi içeriğini düzenlerse ve kötü niyetli bilgiler veya bir /Küfretme Zındık/ web sitesine bağlantılar içeriyorsa, bir kuruluşun itibarı zedelenebilir.
- Web sunucusu tehlikeye web sitesini ziyaret kullanıcılar kötü amaçlı yazılım yüklemeye kullanılabilir . Ziyaretçinin bilgisayarına indirilen kötü amaçlı yazılım bir virüs, Truva Atı veya Botnet Yazılımı vb. olabilir.
- Güvenliği ihlal edilmiş kullanıcı verileri, ayrıntılarını kuruluşa emanet eden kullanıcılardan iş kaybına veya davalara yol açabilecek dolandırıcılık faaliyetleri için kullanılabilir.
Web sunucusu saldırı araçları
Yaygın web sunucusu saldırı araçlarından bazıları şunlardır;- Metasploit – bu, istismar kodunu geliştirmek, test etmek ve kullanmak için açık kaynaklı bir araçtır. Web sunucularındaki güvenlik açıklarını keşfetmek ve sunucuyu tehlikeye atmak için kullanılabilecek açıkları yazmak için kullanılabilir.
- MPack – bu bir web istismar aracıdır. PHP ile yazılmıştır ve veritabanı motoru olarak MySQL tarafından desteklenmektedir. MPack kullanılarak bir web sunucusunun güvenliği ihlal edildiğinde, ona gelen tüm trafik kötü amaçlı indirme web sitelerine yönlendirilir.
- Zeus - bu araç, güvenliği ihlal edilmiş bir bilgisayarı bir bot veya zombiye dönüştürmek için kullanılabilir. Bot, internet tabanlı saldırılar gerçekleştirmek için kullanılan güvenliği ihlal edilmiş bir bilgisayardır. Botnet, güvenliği ihlal edilmiş bilgisayarların bir koleksiyonudur. Botnet daha sonra bir hizmet reddi saldırısında veya istenmeyen postalar göndermede kullanılabilir.
- Neosplit – bu araç programları yüklemek, programları silmek, kopyalamak vb. için kullanılabilir.
Web sunucusuna yapılan saldırılar nasıl önlenir
Bir kuruluş, kendisini web sunucusu saldırılarına karşı korumak için aşağıdaki politikayı benimseyebilir.- Yama yönetimi - bu, sunucunun güvenliğini sağlamaya yardımcı olmak için yamaların yüklenmesini içerir. Yama, yazılımdaki bir hatayı düzelten bir güncellemedir. Yamalar işletim sistemine ve web sunucu sistemine uygulanabilir.
- İşletim sisteminin güvenli kurulumu ve konfigürasyonu
- Web sunucusu yazılımının güvenli kurulumu ve konfigürasyonu
- Güvenlik açığı tarama sistemi - bunlar arasında Snort, NMap, Scanner Access Now Easy (SANE) gibi araçlar bulunur
- Güvenlik duvarları , saldırganın tanımlayıcı kaynak IP adreslerinden gelen tüm trafiği engelleyerek basit DoS saldırılarını durdurmak için kullanılabilir.
- Sunucudaki kötü amaçlı yazılımları kaldırmak için virüsten koruma yazılımı kullanılabilir
- Uzaktan Yönetimin Devre Dışı Bırakılması
- Varsayılan hesaplar ve kullanılmayan hesaplar sistemden kaldırılmalıdır
- Varsayılan bağlantı noktaları ve ayarlar (21 numaralı bağlantı noktasındaki FTP gibi) özel bağlantı noktası ve ayarlarla değiştirilmelidir (5069'da FTP bağlantı noktası)
Hackleme Etkinliği: Bir Web Sunucusunu Hackleyin
Bu pratik senaryoda, bir web sunucusu saldırısının anatomisine bakacağız. www.techpanda.org'u hedeflediğimizi varsayacağız . Bu yasadışı olduğu için aslında hacklemeyeceğiz. Alan adını yalnızca eğitim amaçlı kullanacağız.neye ihtiyacımız olacak
- Bir hedef www.techpanda.org
- Bing arama motoru
- SQL Enjeksiyon Araçları
- PHP Shell, dk Shell kullanacağız DK (ICF OFFICIAL ) SHELL
Bilgi toplama
Hedefimizin IP adresini almamız ve aynı IP adresini paylaşan diğer web sitelerini bulmamız gerekecek.Hedefin IP adresini ve IP adresini paylaşan diğer web sitelerini bulmak için çevrimiçi bir araç kullanacağız.
- Web tarayıcınıza Reverse IP Lookup - Find Other Web Sites Hosted on a Web Server URL'sini girin
- Hedef olarak www.techpanda.org girin
- Kontrol düğmesine tıklayın
- Aşağıdaki sonuçları alacaksınız
Yukarıdaki sonuçlara göre hedefin IP adresi 69.195.124.112'dir.
Aynı web sunucusunda 403 domain olduğunu da öğrendik.
Bir sonraki adımımız, diğer web sitelerini SQL enjeksiyon güvenlik açıkları için taramak . Not: Hedefte savunmasız bir SQL bulabilirsek, diğer web sitelerini düşünmeden doğrudan onu kullanırız.
- www.bing.com URL'sini web tarayıcınıza girin. Bu yalnızca Bing ile çalışır, bu nedenle google veya yahoo gibi diğer arama motorlarını kullanmayın
- Aşağıdaki arama sorgusunu girin
İŞTE,
- “ip:69.195.124.112”, aramayı, 69.195.124.112 IP adresine sahip web sunucusunda barındırılan tüm web siteleriyle sınırlar.
- “.php?id=" URL için arama GET değişkenleri, SQL ifadeleri için bir parametre kullandı.
Yukarıdaki sonuçlardan da görebileceğiniz gibi, SQL enjeksiyonu için parametre olarak GET değişkenlerini kullanan tüm web siteleri listelenmiştir.
Bir sonraki mantıksal adım, listelenen web sitelerini SQL Injection güvenlik açıkları için taramak olacaktır. Bunu manuel SQL enjeksiyonunu kullanarak yapabilir veya bu makalede SQL Injection ile ilgili listelenen araçları kullanabilirsiniz.
PHP Kabuğunun Yüklenmesi
Yasadışı olduğu için listelenen web sitelerinin hiçbirini taramayacağız. Diyelim ki bunlardan birine giriş yapmayı başardık. http://sourceforge.net/projects/icfdkshell/ adresinden indirdiğiniz PHP kabuğunu yüklemeniz gerekecek.- dk.php dosyasını yüklediğiniz URL'yi açın.
- Aşağıdaki pencereyi alacaksınız
- Symlink URL'sini tıklamak, hedef etki alanındaki dosyalara erişmenizi sağlar.
Özet
- Web sunucusu değerli bilgileri depolar ve kamuya açık erişime açıktır. Bu onları saldırganlar için hedef yapar.
- Yaygın olarak kullanılan web sunucuları arasında Apache ve Internet Information Service IIS bulunur.
- Web sunucularına yönelik saldırılar, işletim sistemindeki, web sunucularındaki ve ağlardaki hatalardan ve Yanlış Yapılandırmadan yararlanır.
- Popüler web sunucusu hack araçları Neosploit, MPack ve Zeus'u içerir.
- İyi bir güvenlik politikası saldırıya uğrama olasılığını azaltabilir
Bu içeriği görmek için giriş yapın.
