Защита от хакеров корпоративных сетей
Шрифт:
В нем содержится ошибка: проверка на совпадение по шаблону при помощи регулярного выражения regex ничего не даст, поскольку на символы входных данных не наложено никаких ограничений. Более того, этот фрагмент кода позволяет избежать действительной проверки на безопасность введенных данных.
Система программирования PHP
Система программирования PHP имеет опцию конфигурации «safe_mode» для установки режима безопасной работы, которая ограничивает использование встроенных в язык функций. Этот режим не гарантирует правильных входных данных. Безопасный режим работы подстраховывает работу приложения, заставляя злоумышленника искать обходные пути преодоления контроля входных данных.
В безопасном режиме работы на функции работы с файлами include, readfile, fopen, file, link, unlink, symlink, rename, rmdir, chmod, chown и chgrp наложено ограничение. C их помощью
Более того, язык PHP накладывает ограничения на использование функций exec, system, passthru и popen. С их помощью могут выполняться только приложения из директории PHP_SAFE_MODE_EXEC_DIR (директория определяется в файле php.h при компиляции сценария на языке PHP). А при помощи функции Mysql_Connect может быть установлено соединение с базой данных при условии совпадения идентификатора владельца базы данных с UID Web-сервера или UID выполняющегося сценария.
И наконец, для противодействия уловкам атак имитации соединения сценарии на языке PHP изменяют способ взаимодействия с механизмом аутентификации протокола HTTP (что является большей проблемой для систем с большим числом виртуальных хостовых Web-сайтов).
Язык разметки ColdFusion
Язык разметки ColdFusion реализует концепцию «песочницы» (sandbox concept), настройки которой из меню Advanced Security позволяют ограничить возможности встроенных в язык функций. Накладываемые на встроенные функции ограничения вынуждают злоумышленника искать обходные пути преодоления проверок, выполняемых приложением. В языке ColdFusion предусмотрены различные способы задания накладываемых на тэги CFML ограничений, общесистемных и индивидуальных политик пользователя. Примеры установки политик и настроек концепции «песочницы» могут быть найдены на следующих ресурсах:
www.allaire.com/Handlers/index.cfm?ID=7745&Method=Full
www.allaire.com/Handlers/index.cfm?ID=12385&Method=Full
Технология ASP
Следует начать с того, что, к счастью, в технологии ASP(VBScript и JScript) предусмотрено немного системозависимых функций, а по умолчанию доступны все функции файловой системы.
В настройках ASP присутствует переключатель запрета использования в функциях файловой системы ссылки на родительскую директорию с помощью символа «../». Этот параметр ограничивает возможности злоумышленника получить доступ к файлу, расположенному за пределами корневой Web-директории. Для изменения параметра следует открыть конфигурационную консоль информационного сервера Интернет (Microsoft Management Console), выбрать нужный Web-сайт, перейти в меню Properties I Home Directory I Configuration I Application Options и отключить опцию Enable Parent Paths. Пример подобных манипуляций приведен на рис. 7.3.
Если в документах ASP не требуется поддержка файловой системы, то от нее можно отказаться, отменив регистрацию объекта File System Object при помощи консольной команды:
regsvr32 scrrun.dll /u
Система управления базами данных MySQL
Система управления базами данных MySQL позволяет читать и писать данные в базу данных при помощи SQL-запросов со следующим синтаксисом:SELECT * INTO FILE “/file/to/save.db” FROM table
Обращение к базе данных можно ограничить, задавая разрешения доступа к файлам пользователями во встроенной таблице привилегий MySQL.
Инструментарий обработки непредвиденных данных
Многие инструментальные средства так или иначе имеют отношение к обработке непредусмотренных данных. Некоторые из них полезны программистам для отладки их кода, другие – злоумышленникам или консультантам при обнаружении прорех в системе защиты. Поскольку подобных инструментальных средств очень много, то далее будут рассмотрены лишь самые популярные.
Программа Web Sleuth
Web Sleuth (сыщик сети) – разработанная Дэйвом Циммером (Dave Zimmer) программа для Windows, позволяющая пользователю модифицировать HTTP-запросы и HTML-формы. Программа Web Sleuth широко использует возможности ядра Internet Explorer, добавляя свои собственные. Последняя версия программы Web Sleuth стала расширяемой благодаря применению подключаемых программ (plug-ins). В настоящий момент в число доступных подключаемых программ входят программы вскрытия HTTP-сессий методом «грубой силы», исследования Web-сайтов и тестирования SQL-запросов с помощью внесения в них изменений. Программа свободно доступна по адресу http://geocities.com/dizzie/sleuth.
Программа CGIAudit
CGIAudit – автоматизированная программа тестирования интерфейса CGI
методом «черного ящика», которая получает от пользователя HTML-форму и методично тестирует каждый ее элемент на известные уязвимости: переполнение буфера, выполнение метасимволов и внесение изменений в запросы SQL. В программе реализованы возможности Web-паука и поддерживается модуль доступа к сети Интернет (прокси-поддержка). CGIAudit написан на языке С и доступен по адресу www.innu.org/~super.Инструментарий RATS
RATS (Rough Auditing Tool for Security – инструментарий первичного аудита безопасности) – средство анализа исходных текстов программ на языках C, C++, Python, Perl и PHP. RATS просматривает исходный текст программ и сообщает о любых потенциально опасных ситуациях, включая статически размещаемые буфера и небезопасные функции. Инструментарий первичного аудита безопасности RATS не решает всех проблем, но помогает снизить потенциальные угрозы безопасности. RATS доступен по адресу www.securesw.com/rats.
Сценарий Flawfinder
Flawfinder (определитель уязвимостей) – сценарий на языке Python, по своим функциональным возможностям схожий с RATS, но анализирует только программы на языке С. Создатель сценария Дэвид Уэллер (David Wheeler) отмечает, что Flawfinder распознает уязвимости там, где RATS бессилен. Его конечная цель – объединиться с RATS, но пока этого не случилось. Сценарий Flawfinder можно найти по адресу www.dhwheeler.com/flawfinder.
Сканер Retina
Retina – разработанный eEye коммерческий сканер уязвимостей позволяет исследователю сканировать приложения для выявления уязвимостей. В основе продукта лежат основные методы атак хакеров CHAM (Common Hacking Attack Methods), основанные на идеях «искусственного интеллекта», в основном автоматизирующие рутинный процесс поиска уязвимостей, например поиск переполнения буфера и схожих проблем в общедоступных сетевых сервисах. Сканер Retina можно приобрести по адресу www.eeye.com.
Программа Hailstorm
Программный продукт Hailstorm разрекламирован как «средство поиска неисправностей в работе программ», основанный на методах, схожих с методами CHAM сканера Retina, предоставляющими исследователю дополнительные возможности. В состав Hailstorm входят написанная на языке Perl машина сценариев и инструментальные средства создания практически любых тестов поиска аномалий в приложениях. Продукт Hailstorm почти не ограничен в потенциальных возможностях поиска ошибок в программе, но требует квалификации в этой области. Программный продукт Hailstorm можно приобрести по адресу www.clicktosecure.com.
Программа Pudding
Программа-посредник протокола HTTP (прокси-HTTP) Pudding написана Рольфом Теммингом (Roelef Temmingh) на языке Perl. Программа Pudding позволяет внести закодированные хитроумные вставки в проходящие через нее унифицированные указатели информационных ресурсов URL в запросах по протоколу HTTP вне зависимости от источника запросов: Web-браузера пользователя или инструментария оценки работы сети. Наиболее широко в программе используются кодировки UTF-8/Unicode. Программа Pudding может быть использована для уклонения от систем обнаружения вторжений IDS. Она доступна по адресу www.securityfocus.com/tools/1960.
Резюме
Проблемы безопасности возникают преимущественно из-за непредвиденных действий злоумышленника по отношению к приложению c целью обмана системы безопасности, логики работы приложения и т. д. Переполнение буфера происходит при пересылке в него большего количества данных, чем предусматривалось разработчиком программы. В результате изменения запроса SQL в запрос добавляются дополнительные команды SQL. К сожалению, во многих приложениях не предусмотрена даже простейшая фильтрация неверных данных. Похвалы достойны те, которые выполняет ее. Фильтрация данных позволит выиграть отдельные сражения, но не всю войну в целом. Для разработки действительно надежного и безопасного приложения следует сместить центр усилий от «удаления плохого» к «сохранению хорошего». Только тогда приложение сможет противостоять различным неправильным, поврежденным или непредсказуемым либо непредвиденным данным.
Непредсказуемые данные могут поразить любое приложение, начиная от программ c интерфейсом командной строки и заканчивая Web-приложениями интерфейса CGI, работающими в оперативном режиме. Процедуры аутентификации, сравнения данных и формирования SQL-запросов уязвимы по своей сути. Для определения уязвимости приложения широко используется метод «черного ящика», который позволяет найти, или, как некоторые говорят, разгадать, хитроумные уловки в конструкции приложения, изучая реакцию приложения на входные данные. Просмотр исходного текста программ приложения (подход, при котором программный код приложения внимательно анализируется c целью выявления уязвимостей) сулит исследователю больше выгоды.
К счастью, противостояние непредвиденным данным – не та область, где каждый сам за себя. В большинстве из общедоступных языков программирования (Perl, CFML и PHP) предусмотрены средства противодействия непредвиденным и поврежденным данным пользователя. Вдобавок ко всему есть еще дополнительные инструментальные средства, которые оказывают широкий спектр услуг исследователю от анализа исходного текста программ и выявления в нем уязвимостей до оказания помощи по правильному применению метода «черного ящика».