Współczesne środowisko globalnego biznesu nie może praktycznie obejść się bez ośrodka webowego - technika ta staje się podstawową formą komunikacji z klientami i partnerami firm. Potencjalne korzyści, jakie niesie Internet, sprawiają, że lawinowo rośnie liczba nowych ośrodków webowych i e-commerce. Podstawowym zagrożeniem dla nich są hakerzy używający coraz nowszych technik włamań.

Firmy decydujące się na wykorzystanie Internetu w operacjach biznesowych muszą same podejmować walkę z zagrożeniami, wynikającymi z włączenia ośrodka webowego do sieci przedsiębiorstwa. Można się bronić używając powszechnie dostępnych środków ochrony. Środki te - zapory ogniowe i systemy wykrywania włamań (IDS) - tworzą pierwsze linie obrony i są podstawowym sposobem ochrony ośrodka webowego czy serwera webowego. Jednak te powszechnie stosowane rozwiązania nie są wystarczające w obliczu nowych technik, którymi posługują się hakerzy. Nieustająca batalia pomiędzy hakerami i profesjonalistami z zakresu ochrony przeniosła się poza perymetr wyznaczany przez zapory ogniowe - w dziedzinę "walki wręcz" na indywidualnych serwerach webowych i korporacyjnych.

Podstawowe rodzaje ataków

Do penetrowania ośrodków webowych są używane różne techniki ataków, które mogą być sklasyfikowane w trzech grupach: ataki na serwery webowe, na aplikacje webowe i ataki pośrednie.

Ataki na serwery webowe

Technika ta wykorzystuje możliwość wysyłania zleceń HTTP do serwera webowego. Zapora ogniowa, przechwytując ruch, zazwyczaj koncentruje się na analizie parametrów komunikacyjnych tego ruchu. Kontroluje port przeznaczenia, adresy IP źródła i przeznaczenia oraz temu podobne atrybuty. Słabą stroną zapór ogniowych jest niemożność weryfikowania tej części pakietu, która zawiera dane (kontrola rodzaju zlecenia). Umożliwia to podsyłanie zleceń wyglądających na pozornie legalne z punktu widzenia zapory ogniowej. Zlecenie takie, dostarczone do serwera webowego, zostanie także normalnie obsłużone. Może to być jednak zlecenie szkodliwe, wykorzystujące słabe punkty serwera do uzyskania określonych efektów.

Ocenia się, że w ciągu trzech lat (1998-2000) opracowano i wypróbowano kilkadziesiąt nowych ataków wykorzystujących luki w masowo stosowanym serwerze webowym Microsoft IIS (Internet Information Server). Ponad 55 proc. tych ataków umożliwiało napastnikowi uzyskiwanie istotnych informacji, takich jak źródłowe pliki ASP (Active Server Pages), informacje konfiguracyjne oraz informacje z plików leżących poza wirtualnym drzewem katalogu serwera webowego, na tym samym dysku. Celem ponad 20 proc. ataków jest komponent ASP w IIS. ASP to technologia skryptowa stosowana po stronie serwera, używana do tworzenia dynamicznych i interaktywnych aplikacji webowych. Pliki źródłowe ASP zawierają często istotne informacje, takie jak nazwy plików baz danych, opis struktury oraz hasła.

Jednym z celów hakera jest często uruchomienie własnego kodu na serwerze. Jeżeli napastnik ma możliwość uruchomienia swojego kodu z uprzywilejowanymi uprawnieniami dostępu, otwiera mu to drogę do przejęcia kontroli nad maszyną, np. założenie nowego użytkownika z uprawnieniami administratora. Około 15 proc. ataków umożliwia napastnikowi wykonanie własnego kodu na serwerze. Przykładem jest atak typu IIS Hack, wykorzystujący efekt przepełnienia bufora i sposób, w jaki IIS obsługuje zlecenia z rozszerzeniem . HTR. Wysyłany przez hakera URL, zakończony ciągiem znaków ". HTR", IIS interpretuje jako plik typu HTR i wywołuje ISM. DLL do obsługi tego zlecenia. Ponieważ ISM. DLL nie jest odporny na przepełnienie bufora, to odpowiednio skomponowany łańcuch może być wykonany w chronionym kontekście IIS, który jest uprzywilejowany. W ten relatywnie prosty sposób można zawrzeć w takim łańcuchu sekwencję komend otwierających połączenie TCP, a następnie sprowadzających przez to połączenie kod wykonywalny i na końcu uruchamiających ten kod.