This article is an automated machine-translation of an article in English. We know the translation isn't perfect, but we hope it's useful for people who don't read English.

DHS الموقع يقع ضحية لاقتحام النضال عبر الاختراق البرمجي

Filed Under: Featured, Security threats

النضال عبر الاختراق البرمجي NullCrew أعلنت مؤخرا عن مجموعة الاقتحام ناجحة (على الرغم من intrusionette قد يكون أفضل كلمة) ضد موقع على شبكة الانترنت في التسلسل الهرمي للمجال DHS.GOV.

DHS، بطبيعة الحال، هي الولايات المتحدة وزارة الامن الداخلي.

كان موقع intrusionetted studyinthestates.dhs.gov، وتهدف إلى مساعدة الأجانب معرفة ما إذا كانت وكيف أنها قد تكون قادرة للدراسة في الجامعات الأميركية، والمدارس والجامعات.

يبدو كما لو كان الموقع عرضة للما يعرف نقطة ضعف اجتياز الدليل.

هذا المكان الذي بناء URL التي يقنع خادم للانتقال إلى جزء من خادم الويب ليست من المفترض أن تكون قادرة على الوصول إليه، وجلب المحتوى من هناك.

تخيل، على سبيل المثال، أن خادم الويب تستضيف ملف ما هو متاح عن طريق http://example.org/private.dat URL، ولكن لالمستخدمين المسجلين فقط.

إذا كان الملقم وأن نرى غير المصرح به لطلب GET / private.dat، وكنت أتوقع أن يرفض الطلب.

ولكن الخادم الخاص بك يحتاج إلى أن تكون حذرا لا تدع الحصول على خداع نفسه، على سبيل المثال، طلب لاسترداد ملف مثل / subdir /.. / private.dat بدلا من ذلك.

إذا قمت بتشغيل فحص اسم الملف من اليسار، فإنه لا تبدو وكأنها الملف في الدليل الجذر، لأنه لا يوجد اسم دليل (/ subdir /) أولا. ولكن تلت ذلك .. /، والذي يدل على "دليل الوالدين إلى واحد وأنا في لحظة"، قفزات عودة للأعلى، وبالتالي إلغاء خارج أسفل الخطوة الأولى في subdir.

أسماء مع المسارات التي تؤدي صعودا في نظام الايداع الخاصة بك دائما خطر. عن طريق تسلق أعلى، قد تكون قادرة على المهاجم يهيمون على وجوههم "صعود وأكثر ونزولا" الى اجزاء خلاف ذلك، ممنوع من شجرة دليل خادم الويب الخاص بك.

في حالات سيئة حقا، قد المهاجمين حتى تكون قادرة على رفع أنفسهم من شجرة دليل خادم الويب الخاص بك تماما، وإلى بقية نظام الايداع.

وهذا قد منحهم الوصول إلى الملفات كلمة السر والتكوين لنظام التشغيل نفسه، أو لبرامج أخرى قيد التشغيل على نفس الخادم.

سوء التعامل مع التصاعدي الرائدة أسماء يبدو أنه قد تم ما هو الخطأ في الدراسة في الولايات الموقع.

يبدو كما لو السيناريو PHP المسؤول عن مستودع تحميل غافل كان في التعامل مع حجتها. A URL من النوع:

 http://example.org/known/dir/download.php؟file=somename.dat 

يمكن أن يساء استخدامها مع طلب من هذا القبيل:

 http://example.org/known/dir/download.php؟file=../../private.dat 

هذا، على ما يبدو، تسببت في تحميل البرنامج النصي سوء تهيئتها للانتقال إلى أعلى في شجرة الدليل خادم الويب، واسترجاع من الداخل ملف من شأنه أن تم حظر إذا كان قد تم تحميلها مباشرة من الخارج.

خطأ يبدو أنه قد تم تصحيحها الآن، ولكن إذا NullCrew هي أن يعتقد (ودعونا نفترض أنها يمكن أن تكون هنا)، تم استخدام هذا الثقب لجلب ملف التكوين وورد، على ما يبدو بما في ذلك موقع قاعدة البيانات الحالي وكلمة المرور. ثم نشرت هذا الملف على موقع التكوين انخفاض المتاحة للجمهور.

للأسف، إذا رؤوس HTTP أرجعها الدراسة في الولايات الموقع يقولون الحقيقة، لا يزال هناك المزيد من الترقيع الذي يتعين القيام به.

بالتأكيد هناك خطأ؟

الموقع التقارير التي تفيد بأن انها تعمل على اباتشي 2.2.3 ريد هات، وPHP 5.3.3. وأنا أكتب هذا، ينبغي أن يكون حقا هذه الإصدارات PHP 5.3.20 واباتشي خادم الويب 2.2.23 .

لماذا لا تستخدم هذه على أنها دعوة للعمل من أجل ملقمات الويب الخاصة بك في عام 2013؟

  • تأكد من أنك قمت بتحديث مع الإصلاحات الأمنية الأخيرة لجميع مكونات الخلفية التي تستخدمها. المهاجمين قراءة القوائم البريدية الضعف، لأنهم يعرفون بالفعل كيفية كسر في غير المصلحة إلى الخوادم.
  • النظر في تشغيل جدار حماية تطبيق ويب (WAF) لنظف الواردة حركة المرور على الشبكة لطلبات وهمية أو محفوفة بالمخاطر المظهر. هذا يساعد على حماية خوادم الويب الخاص بك من الهجمات ولكن في ذات وغير معروف.
  • إجراء اختبارات الاختراق العادية ضد الممتلكات الخاصة بك على شبكة الإنترنت الخاصة للتأكد من أن يتم حظر الحيل مثل traversals الدليل وتسجيل.

ونظرة سريعة على سجلات خادم الويب من شبه المؤكد تكشف عن وجود عدد كبير من (ربما الآلي) الاعتداءات التي تستند إلى ذات مظهر غريب عناوين URL التي سوف آمال المهاجم التسلل الماضي الدفاعات الخاصة بك.

انها ليست مسألة إذا، أو عندما لحتى، قد تحصل على هجوم لك. إذا كنت طلبات ويب الواردة دعوة، كنت بالفعل لهجوم!

تشغيل خادم الويب في المنزل؟

لماذا لا نحاول الخروج الحرة سوفوس الإصدار المنزلي UTM ؟

تحصل على شبكة الإنترنت وترشيح البريد الإلكتروني، والإنترنت جدار الحماية التطبيق، IPS، VPN وأكثر من ذلك لمدة تصل إلى عناوين IP 50. يمكنك أيضا حماية ما يصل إلى أجهزة الكمبيوتر ويندوز 12 على الشبكة مع سوفوس لمكافحة الفيروسات!

(ملاحظة: التسجيل مطلوب)

You might like

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

About the author

Paul Ducklin is a passionate security proselytiser. (That's like an evangelist, but more so!) He lives and breathes computer security, and would be happy for you to do so, too. Paul won the inaugural AusCERT Director's Award for Individual Excellence in Computer Security in 2009. Follow him on Twitter: @duckblog