WOJSKOWA AKADEMIA TECHNICZNA
Im. Jarosława Dąbrowskiego
LABORATORIUM PODSTAW BEZPIECZEŃSTWA INFORMACJI
SPRAWOZDANIE Z ĆWICZENIA LABORATORYJNEGO NR 2
Prowadzący: mgr inż. Bartosz Kryński
Grupa: I0E1S1
Sprawozdanie wykonali: Kamil Maślanka, Damian Matczak
Data wykonania ćwiczenia: 21.11.2012
Treść zadania:
1. Uruchomić komputer z płytą (LiveCD) z systemem Backtrack
2. Przeskanować aplikacje Superveda skanerem podatności aplikacji Web , oraz przedstawić raport z wybranych podatności.
3. Zaproponować strefy bezpieczeństwa przedsiębiorstwa .
Wykorzystane narzędzia –opis:
BackTrack (lub Back|Track) jest dystrybucją systemu operacyjnego Linux typu LiveCD, opartą pierwotnie na dystrybucji Slax. Począwszy od wersji BackTrack 4 system oparto o dystrybucję Ubuntu.
Powstała w wyniku połączenia dystrybucji Whax i Auditor. Zawiera oprogramowanie służące do testów bezpieczeństwa i łamania zabezpieczeń. System może być uruchamiany z dysku twardego, płyty CD, DVD lub pendrive'a.
Swoją popularność zyskał głównie wśród osób zajmujących się wardrivingiem oraz warchalkingiem, ponieważ posiada wbudowane narzędzia do monitorowania sieci bezprzewodowych oraz łamania zabezpieczeń takich jak: filtracja adresu MAC, szyfrowanie WEP i WPA. Umożliwia także analizowanie pakietów VoiceIP. Dużym ułatwieniem dla użytkowników jest też to, że posiada wbudowane sterowniki większości kart Wi-Fi, co sprawia, że łamanie podstawowych zabezpieczeń nawet dla nie znającej Linuksa osoby staje się bardzo proste. Zawiera wiele narzędzi do przeprowadzania audytów bezpieczeństwa oraz sporo linków do ciekawych stron.
2. Przebieg ćwiczenia:
Ćwiczenie rozpoczęliśmy od uruchomienia komputera z płyty LiveCD z systemem BackTrack. Po uruchomieniu systemu wykonaliśmy testy penetracyjne aplikacji Superveda za pomocą programu Vega :
Skaner ten wykrył ,że aplikacja narażona jest na ataki typu SQL Injection oraz Cross Site Scripting. SQL Injection jest to luka w zabezpieczeniach aplikacji internetowych polegająca na nieodpowiednim filtrowaniu lub niedostatecznym typowaniu i późniejszym wykonaniu danych przesyłanych w postaci zapytań SQL do bazy danych. Natomiast ataki Cross Site Scripting (XSS) polegają na osadzeniu w treści atakowanej strony kodu (zazwyczaj JavaScript), który wyświetlony innym użytkownikom może doprowadzić do wykonania przez nich niepożądanych akcji.
Testowane przez nas podatności SQL Injection:
Po dodaniu union oraz jakiegokolwiek zapytania do bazy(nawet niepoprawnego) otrzymywaliśmy komunikat zwrotny z bazy o błędzie.
Dzięki temu wiedzieliśmy , że mamy możliwość odczytać z bazy danych wszystko co chcemy.
Po dopisaniu do paska adresu zapytania “union select 1,lastname,’0’,’0’,’1’,1’ from users where 1=1 “ wyświetlone na ekranie zostały rekordy z bazy danych odpowiadające za nazwiska użytkowników.
Natomiast po zmianie zapytania na ““union select 1,password,’0’,’0’,’1’,1’ from users where lastname=’mouse’ “ udało nam się uzyskać hasło użytkownika o nazwisku “Mouse”.
Kolejną słabością aplikacji , która udało nam się wykorzystać była bardzo łatwa możliwość zalogowania się do sklepu na przypadkowe konto(pierwsze z bazy). Wystarczyło , że w pola Username oraz Password wpiszemy “ ‘ or ‘1’ = ’1 ” a zalogowani zostajemy jako użytkownik Mickey.
Testowane przez nas podatności Cross Site Scripting (XSS):
Skrypt w postaci <script>alert(“test Superveda”)</script> można było umieścić w wyszukiwarce produktów co skutkowało pojawieniem sie na ekranie alertu:
Skrypt można było umieszczać także w komentarzach do produktów , lub nawet jako nazwa użytkownika podczas zakładania konta. Skutkowało to wykonaniem się skryptu podczas logowania.
3. Zadanie 2
Tabelka ze strafemi bezpieczeństwa przedsiębiorstwa:
Źródło | Strefa Docelowa | Port | Akcja |
---|---|---|---|
ANY | ANY | ANY | Blokuj |
Internet | BAZY DANYCH | ANY | Blokuj |
Internet | Web | 443 | Zezwalaj |
Internet | Poczta Elektroniczna | 995 | Zezwalaj |
Poczta Elektroniczna | Internet | 465 | Zezwalaj |
Web | Internet | 443 | Zezwalaj |
LAN | Internet | ANY | Zezwalaj |
LAN | BAZY DANYCH | ANY | Blokuj |
LAN | Web | 443 | Zezwalaj |
LAN | Poczta Elektroniczna | 995 | Zezwalaj |
Poczta Elektroniczna | LAN | 465 | Zezwalaj |
Web | LAN | 443 | Zezwalaj |
BAZY DANYCH | LAN | ANY | Blokuj |
BAZY DANYCH | Web | 443 | Zezwalaj |
BAZY DANYCH | Poczta Elektroniczna | 995 | Blokuj |
Poczta Elektroniczna | BAZY DANYCH | 465 | Blokuj |
Web | BAZY DANYCH | 443 | Zezwalaj |
ANY | Serwery DNS | ANY | Zezwalaj |
WNIOSKI:
Udział w laboratorium , pozwolił nam zaobserwować na jakie zagrożenia mogą być narażone nieodpowiednio stworzone aplikacje. System Superveda , który testowaliśmy podatny był na bardzo wiele ataków które mogły spowodować nie tylko straty finansowe sklepu , ale narazić także na nie jego użytkowników.
W dzisiejszych czasach o poufne dane klientów takie jak numery kart kredytowych czy hasła trzeba bardzo uważać I odpowiednio zabezpieczać je przed dostępem innych osób. Ataki przez nas przeprowadzone nie wymagały dużej wiedzy , oraz specjalnych narzędzi. Mógł je przeprowadzić każdy , bez wiekszej wiedzy. Pokazuje to jak bardzo musimy uważać o swoje bezpieczeństwo w sieci.
Jednak nawet najlepsze zabezpieczenia na nic się nie zdają , jeśli nie uświadomimy osób mających dostęp do poufnych danych że sami moga stać się najwiekszym zagrożeniem , podłączając chociażby do sieci firmowej zainfekowanego pendrive’a. Dlatego właśnie Zadanie nr 2 polegało na zmniejszeniu ryzyka wycieku poufnych informacji do sieci. Dzięki zablokowaniu niektórych akcji , utrudniamy intruzowi dostęp do poufnych informacji.