Эволюция Атак На Веб-Приложения

Эволюция Атак На Веб-Приложения

Атаки на веб-приложения открывают перед злоумышленниками широкие возможности: сюда входит кража критической или конфиденциальной информации; нарушение бизнес-логики ради финансовой выгоды; Также успешная атака на веб-приложение может стать предвестником взлома корпоративной сети компании.

В этой статье я расскажу об эволюции атак на веб-приложения.

ТОП-10 OWASP

Классические уязвимости на данный момент представлены списком OWASP TOP 10:

A1 Внедрение кода
A2 Неправильная аутентификация и управление сеансом
A3 Межсайтовый скриптинг
A4 Небезопасные прямые ссылки на объекты
A5 Небезопасная конфигурация
A6 Утечка конфиденциальных данных
A7 Отсутствие контроля доступа на функциональный уровень
A8 Подделка межсайтового запроса
A9 Использование компонентов с известными уязвимостями
A10 Непроверенные редиректы

К этому списку применимы и атаки на веб-приложения, но не все из них широко распространены и происходят каждый день.

Хорошим примером выявления той или иной уязвимости можно считать неофициальный график раскрытия информации HackerOne: http://h1.nobbd.de/index.php .

Как мы видим, преобладают SQL-инъекции, атаки на стороне клиента и т.д.

Типы атак

Существует два типа атак: нецелевые и целевые.

Нецелевые «попадают в точку» и реализуют один-два вектора атаки, не всегда осознавая цель атаки.

Как правило, они примитивны.

Подобные атаки мы видим каждый день, представленные в виде эксплуатации той или иной уязвимости, попыток получить доступ к критически важным файлам и т. д. Целевые атаки отличаются множеством векторов, высоким профессионализмом злоумышленников и эффективностью.

Они составляют примерно 5% от общего количества атак, но они гораздо эффективнее нецелевых.

Нецелевые атаки обычно автоматизированы и осуществляются с использованием различных систем эксплуатации: от сканеров уязвимостей до самописных скриптов и утилит. Как правило, они различаются по нескольким характеристикам (User-Agent, вектор приложения, диапазон IP).

Например, попытка выявить /uploadify/uploadify.php — уязвимость в модуле MODX. Статистика по нецелевым атакам следующая: Самые популярные атаки:

Попытки обнаружить SQL-инъекцию: - 85%.
Попытки определить доступ к критически важным папкам и файлам: - 7%.
Попытки использования известных (громких) эксплойтов — 5%.
Попытки внедрить обнаружение межсайтового скриптинга — 3%.

Это касалось автоматизированных систем.

Если сайт атакует злоумышленник, знающий веб-приложение и его уязвимые компоненты, атака становится более целенаправленной и эффективной.

Ээволюция атак

Эволюцию атак на веб-приложения можно рассматривать с нескольких точек зрения:

увеличение сложности веб-приложений — как следствие, больше возможностей для ошибок;
увеличение сложности архитектуры – как следствие, больше возможностей для ошибки;
популяризация «крутого взлома» — как следствие, больше материала оказывается в открытом доступе, больше атак;
очевидная безнаказанность.

Я оставлю техническую основу за пределами этой статьи и хочу поговорить о технической стороне.

Появление новых векторов связано с использованием новых технологий или выявлением уязвимостей в старых.

Кроме того, некоторые уязвимости могут быть «за бортом» и не использоваться в течение многих лет, например, внешние сущности XML: первые упоминания датируются 2002 годом , экземпляр вектора 2009 г.

, массовая эксплуатация началась в 2011-2012 практически повсеместно, например phpmyadmin .

XXE-уязвимости были обнаружены (в рамках программ BugBounty) на ресурсах Яндекса, ВКонтакте, Uber и многих других.

Еще одним важным фактором развития векторов атак является внедренное защитное оборудование.

Мы установили уязвимое веб-приложение, указав тип уязвимости и защитили веб-приложение сервисом защиты: http://vulns.XXXXXXXXXXXX.ru .

   http://vulns.XXXXXXXXXXXX.ru/wp-content/plugins/kittycatfish/base.css.phpЭkc_ad=31&ver=2.0 "

Уязвимый параметр kc_ad. Злоумышленники сначала пытаются обнаружить наличие инъекции, используя символ кавычки, классику жанра:

Эволюция Атак На Веб-Приложения

На сайте есть уязвимость, но сразу воспользоваться ею невозможно, поэтому злоумышленники используют методы подделки данных, чтобы попытаться обойти меры безопасности:

  http://vulns.XXXXXXXXXXXX.ru/wp-content/plugins/kittycatfish-2.2/base.css.phpЭkc_ad=16+group%0aby%0a1%0aUNIO%6e%0aSELEC%74%0achar%0a(107,99,95,97,100,95,99,115,115),(selec%74%0acolumn_name%0afro%6d%0a`%69nformation%5fschem%61`.

columns%0awher%65%0atable_name=0x746c5f746f6b656e%0alimit%0a0,1)

Такие методы обхода также не позволяют эксплуатировать уязвимость, поэтому злоумышленники начинают использовать все более изощренные методы обхода.

Эволюция Атак На Веб-Приложения

Это преобразуется в следующие запросы: http://vulns.XXXXXXXXXXXX.ru/wp-content/plugins/kittycatfish-2.2/kittycatfish.js.php Parameter kc_ad=%27%2F%2A%2A%2FanD%2F%2A%2A%2F3083%2F%2A%2A%2FbEtWEEN%2F%2A%2A%2F3083%2F%2A%2A%2FanD%2F%2A%2A%2F3083--%2F%2A%2A%2FiGqe&ver=2.0 Таким образом, можно отметить, что на данный момент практически все известные уязвимости эксплуатируются с поправкой на реализацию механизмов защиты при разработке приложений и на используемые защитные средства.