Innehållsförteckning:
Video: 10. TDK des IKF: "Künstlerische Forschung: Kunst als Wissensproduktion" mit Anke Haarmann 2024
I denna fallstudie var Caleb Sima, en välkänd ansökningssäkerhetsexpert, engagerad för att hacka en klientens webbapplikationer. Detta exempel på att upptäcka en säkerhetsrisk är en bra försiktighetspresent för att skydda din privata information.
Situationen
Herr. Sima anställdes för att genomföra ett penetrationstest för webbapplikationer för att bedöma säkerheten för en välkänd ekonomisk webbplats. Utrustad med inget annat än webbadressen till den viktigaste finansiella webbplatsen, utsåg Mr Sima att hitta vilka andra webbplatser som fanns för organisationen och började med att använda Google för att söka efter möjligheter.
Mr. Sima körde initialt en automatiserad skanning mot huvudservrarna för att upptäcka någon låghängande frukt. Denna skanning gav information om webbserverns version och annan grundläggande information men inget som visat sig vara användbart utan vidare forskning. Medan Mr. Sima utförde skanningen märkte varken IDS eller brandvägg någon av hans aktiviteter.
Därefter utfärdade Mr Sima en begäran till servern på den första webbsidan, vilket gav några intressanta uppgifter. Webapplikationen tycktes acceptera många parametrar, men eftersom Mr Sima fortsatte att bläddra på webbplatsen märkte han att parametrarna i webbadressen var desamma.
Mr. Sima bestämde sig för att radera alla parametrar i URL-adressen för att se vilken information servern skulle returnera när den begärde. Servern svarade med ett felmeddelande som beskriver typen av applikationsmiljö.
Därefter utförde Mr Sima en Google-sökning på ansökan som resulterade i en detaljerad dokumentation. Mr Sima hittade flera artiklar och tekniska anteckningar inom denna information som visade honom hur ansökan fungerade och vilka standardfiler som kan finnas. Faktum är att servern hade flera av dessa standardfiler.
Mr. Sima använde denna information för att söka efter ansökan ytterligare. Han upptäckte snabbt interna IP-adresser och vilka tjänster ansökan erbjöd. Så snart som Sima visste exakt vilken version adminen körde, ville han se vad han kunde hitta.
Mr. Sima fortsatte att manipulera URL-adressen från programmet genom att lägga till & tecken i uttalandet för att kontrollera det anpassade manuset. Med den här tekniken fick han fånga alla källkodsfiler. Mr Sima noterade några intressanta filnamn, inklusive VerifyLogin. htm, ApplicationDetail. htm, CreditReport. htm och ChangePassword. htm.
Då försökte Sima att ansluta till varje fil genom att utfärda en speciellt formaterad URL till servern.Servern gav ett användarnamn som inte var inloggat för varje förfrågan och angav att anslutningen måste göras från intranätet.
Resultatet
Herr. Sima visste var filerna var placerade och kunde snyta anslutningen och bestämma att ApplicationDetail. htm-fil ställa in en cookie-sträng. Med liten manipulation av webbadressen slog Mr. Sima jackpotten. Den här filen returnerade kundinformation och kreditkort när en ny kundansökan behandlades. Kreditupplysning. htm tillät Mr Sima att visa status för kundkreditrapport, bedrägeribekämpning, avvisad ansökningsstatus och annan känslig information.
Lektionen: Hackers kan använda många typer av information för att bryta igenom webbapplikationer. De enskilda utnyttjandena i denna fallstudie var mindre, men i kombination resulterade de i svåra sårbarheter.
Caleb Sima var en medlem i X-Force-teamet på Internet Security Systems och var den första medlemmen av penetrationstestteamet. Mr Sima fortsatte med att hitta SPI Dynamics (senare förvärvad av HP) och blev dess CTO, samt chef för SPI Labs, applikationssäkerhetsforsknings- och utvecklingsgruppen inom SPI Dynamics.