美国国土安全部网站hacktivist入侵的受害者

Hacktivist的组NullCrew最近宣布对一个网站中的DHS.GOV的域层次结构的一个成功的入侵(,虽然intrusionette可能是一个更好的词)。

当然,美国国土安全部,是美国国土安全部。

的intrusionetted的网站studyinthestates.dhs.gov,目的是帮助外国人是否以及如何找出他们也许能在美国学校,学院和大学学习。

它的网站看起来好像是脆弱的被称为一个目录遍历漏洞。

这就是你说服服务器来浏览Web服务器的一个部分,你不应该能够访问,并检索内容有构造一个URL。

想象一下,例如,您的网络服务器承载的文件,该文件是可以通过URL http://example.org/private.dat的 ,但到登录的用户只。

如果服务器看到一个未授权的GET请求/ private.dat的 ,你希望它拒绝该请求。

但你的服务器需要要小心,它不会让自己被骗,例如请求来检索文件如/子目录/。。/ private.dat。

如果你从左边开始检查的文件名 ​​,它不会看起来像根目录中的一个文件,是因为有一个目录名称(/子目录/)。但随之而来的.. /,表示我在此刻“,”父目录跃起上升一个级别,从而抵消了最初的一步向下进入子目录

在你的文件系统中,导致向上的路径,文件名总是有风险。向上攀爬,攻击者可能会漫步“和过度和下”,否则禁止您的Web服务器的目录树中的部分。

在非常糟糕的情况下,攻击者甚至可以悬挂自己的Web服务器的目录树共备案制,进入休息。

这可能给他们访问操作系统本身的密码和配置文件,或在同一服务器上运行的其他软件。

向上领先的文件名 ​​处理不当,似乎已经在美国网站上的研究发生了什么事。

它看起来就像一个PHP脚本的下载资料库中的参数处理是不小心的。一个URL的形式:

 http://example.org/known/dir/download.php?file=somename.dat 

这样的要求可能会被滥用:

 http://example.org/known/dir/download.php?file=../../private.dat 

,现在看来,这造成生病配置的下载脚本的Web服务器的目录树中导航向上,由内而外的文件比已被封锁,如果它已经被下载直接从外部检索。

故障似乎已经被修补了,但如果NullCrew是可以相信的(让我们假设他们可以在这里),这个洞是用来获取WordPress的配置文件,显然也包括后端数据库的位置和密码。这个配置文件是一个公开可用的降网站上公布。

可悲的是,如果返回的HTTP标头的研究在美国的网站说的是真话,还是需要做一些更多的补丁。

当然,一些错误呢?

该网站报道,它的运行的Apache 2.2.3在Red Hat,和PHP 5.3.3。在我写这篇文章时,这些版本确实应该PHP 5.3.20和Apache Web服务器2.2.23

为什么不使用这是一个呼吁采取行动,在2013年为自己的Web服务器?

  • 确保你的所有后端组件使用最新的安全修补程序更新。攻击者读取漏洞的邮件列表,所以他们已经知道如何打破你的未打补丁的服务器。
  • 考虑运行一个Web应用防火墙 (WAF)为假的或有风险的,前瞻性的请求冲刷入站网络流量。这有助于保护您的Web服务器从未知的攻击。
  • 定期执行渗透测试,对自己的网络性能,以确保被封锁,记录技巧,如目录遍历。

就让我们来看看在你的Web服务器日志中几乎肯定会发现大量的(可能是自动的)攻击奇怪的前瞻性的URL,攻击者希望将你的防御偷渡过去的基础上。

这不是一个问题,甚至的时候,你可能会攻击。如果您要邀请入站的Web请求,你已经受到攻击!

运行Web服务器在家里吗?

为什么不尝试一下的免费的Sophos UTM家庭版的吗?

最多50个IP地址,Web和邮件过滤,Web应用防火墙,IPS,VPN和更多。您也可以保护多达12个Windows个人电脑网络上的Sophos反病毒!

(注:需要注册)。