Bezpieczeństwo ośrodka webowego
- Józef Muszyński,
- 01.06.2002
Prowadząc biznes trudno obecnie obejść się bez ośrodka webowego - staje się on podstawową formą komunikacji firmy z klientami i partnerami. Potencjalne korzyści, jakie niesie Internet, w głównej mierze przyczyniają się do szybkiego wzrostu liczby nowych ośrodków webowych i e-commerce.
Prowadząc biznes trudno obecnie obejść się bez ośrodka webowego - staje się on podstawową formą komunikacji firmy z klientami i partnerami. Potencjalne korzyści, jakie niesie Internet, w głównej mierze przyczyniają się do szybkiego wzrostu liczby nowych ośrodków webowych i e-commerce.
Rozwojowi temu towarzyszą nowe zagrożenia. Podstawowym są hakerzy, używający coraz to nowszych technik włamań w celu kradzieży danych przechowywanych na serwerach webowych lub wykorzystania informacji tam zawartych do osiągnięcia korzyści materialnych.
Słabe punkty aplikacji webowych
Podstawowe rodzaje ataków
Do penetrowania ośrodków webowych używane są różne techniki, które można podzielić na trzy grupy: ataki na serwery webowe, na aplikacje webowe i pośrednie.
Ataki na serwery webowe
Technika ta wykorzystuje zlecenia HTTP wysyłane do serwera webowego. Zapora ogniowa, przechwytując ruch, zazwyczaj koncentruje się na analizie parametrów komunikacyjnych tego ruchu. Kontroluje port przeznaczenia, adresy IP źródła i przeznaczenia oraz temu podobne atrybuty, najczęściej nie weryfikuje jednak tej części pakietu, która zawiera dane (kontrola rodzaju zlecenia). Umożliwia to podsyłanie zleceń wyglądających na pozornie legalne z punktu widzenia zapory ogniowej. Zlecenie takie, dostarczone do serwera webowego, zostanie także normalnie obsłużone. Może to być jednak zlecenie wykorzystujące słabe punkty serwera do uzyskania celów hakera.
Jednym z takich celów jest często uruchomienie własnego kodu na serwerze. Jeżeli napastnik uzyska możliwość uruchomienia swojego kodu z uprzywilejowanymi uprawnieniami dostępu, otwiera mu to drogę do przejęcia kontroli nad maszyną. Szacuje się, że około 15 proc. ataków umożliwia napastnikowi wykonanie własnego kodu na serwerze.
Duża liczba ataków dotyczy również baz danych usytuowanych poza serwerem webowym. Wykorzystując luki w serwerze IIS, można uruchomić komendy SQL i uzyskać dostęp do bazy danych lub nawet uprawnienia uprzywilejowane.
Ataki na aplikacje webowe
Aplikacje webowe są używane przez wiele ośrodków webowych do generowania stron webowych w oparciu o wprowadzane dane i zawartość baz danych. Większość serwerów webowych zapewnia interfejs do komunikacji z aplikacją webową. Interfejs ten tworzy połączenia pomiędzy zleceniem HTTP i aplikacją. Określa on aplikację, która powinna być wywołana, parametry i dane przekazywane do aplikacji oraz mechanizm zapewniający dynamiczne generowanie stron przez serwer webowy. Jednym z takich interfejsów jest szeroko stosowany CGI (Common Gateway Interface).
Ataki na aplikacje webowe przechodzą przez zapory ogniowe, ponieważ port 80 (HTTP) czy 443 dla SSL (Security Sockets Layer) muszą być otwarte, aby aplikacje te mogły funkcjonować. Ataki te obejmują takie kategorie, jak DoS - blokowanie usług, zmiana zawartości stron webowych, przechwytywanie istotnych informacji korporacyjnych lub o użytkownikach - na przykład numery kart kredytowych.