WOJSKOWA AKADEMIA TECHNICZNA

PODSTAWY BEZPIECZEŃSTWA INFORMACJI

LABORATORIUM NR 2

Prowadzący: mgr inż. Bartosz Kryński

Data: 21.11.2012

Wykonali:	Mateusz Bosek I0E1S1 Łukasz Wąsowski I0E1S1 Łukasz Kotowski I0B3S1 (odrabiał zajęcia z dnia: 3.01.2013)

PRZEBIEG ĆWICZENIA LABORATORYJNEGO

Zadanie 1. Uruchomienie skanera podatności aplikacji web, analiza zidentyfikowanych podatności aplikacji Superveda spod adresu IP: 10.5.236.127

Skan z programu VEGA pokazujący 6 poważnych luk w aplikacji Superveda.

Po sprawdzeniu wyników przeskanowanej aplikacji, zauważyliśmy iż posiada ona wiele podatności na włamania lub modyfikację treści, które mogą zostać wykorzystane w nieodpowiednim celu.

Poniżej przedstawiamy 2 techniki jakich użyliśmy do wykazania, że strona zawiera podatności:

• Cross Site Scripting (XSS) - wykonaliśmy JavaScript , który miał na celu wyświetlenie komunikatu 1 w oknie przeglądarki pochodzący z źle zabezpieczonej aplikacji Superveda.

Oczywiście był to najprostszy z możliwych skryptów do wykonania. Jednak już taka prosta czynność uświadamia nas o słabych zabezpieczeniach.

Gdybyśmy lekko zmodyfikowali skrypt do poniższej formuły:

<script>alert(document.cookie);</script>

na podstawie ciasteczka byli byśmy w stanie określić login, oraz hasło ofiary. Oczywiście zastosowanie bardziej wyrafinowanych skryptów może pozwolić na znacznie więcej, np. na przeglądanie jakie strony odwiedza ofiara i wiele innych.

• Insecure Direct Object References - Aby mieć możliwość zakupu produktu po niższej cenie wystarczy w pasku adresu zmienić wartość zmiennej „sale” z „no” na „yes”. Jest to bardzo prosta metoda, a jednocześnie powoduje ona duże straty finansowe sklepowi.

Zadanie 2. Stworzenie projektu z zaproponowanymi strefami bezpieczeństwa przedsiębiorstwa.

Konstrukcja takiego projektu nie jest tak prosta jak mogła by się wydawać, wymaga przemyślenia między innymi poniższych aspektów, które mają ogromny wpływ na bezpieczeństwo przedsiębiorstwa:

• Zebranie informacji o strukturze organizacyjnej przedsiębiorstwa

• Analiza zebranych informacji i wyznaczenie stref podwyższonego ryzyka - szczególnie istotnych dla bezawaryjnej pracy firmy

• Badanie poziomu zorientowania przedsiębiorstwa na zapewnienie bezpieczeństwa informacji

• Zebranie informacji o wykorzystywanych systemach zabezpieczeń fizycznych i logicznych

• Analiza bezpieczeństwa fizycznego

• Analiza polityki dostępu fizycznego i informatycznego do poszczególnych zasobów

Jak wiadomo pewnym środkiem na zabezpieczenie danych przedsiębiorstwa jest instalacja firewalla jednak będzie on bezużyteczny jeśli nie będzie odpowiednio skonfigurowany, lub informacje ważne będą przepływały drogami, które nie przechodzą bezpośrednio przez niego.

Dlatego też poniżej zaprojektowaliśmy system, który ma na celu ochronę tych informacji:

Strefa źródłowa	Strefa docelowa	Port źródłowy	Port docelowy	Akcja
Internet	LAN	443	ANY	Zezwalaj
Internet	Baza danych	ANY	ANY	Blokuj
Internet	Web	ANY	443	Zezwalaj
Web	Internet	ANY	ANY	Zezwalaj
LAN	Internet	ANY	443	Zezwalaj
Baza danych	Internet	ANY	ANY	Blokuj
LAN	Web	ANY	443	Zezwalaj
LAN	Baza danych	ANY	ANY	Blokuj
Web	LAN	443	ANY	Zezwalaj
Web	Baza danych	443	ANY	Zezwalaj
Baza danych	LAN	ANY	ANY	Zezwalaj
Baza danych	Web	ANY	ANY	Zezwalaj

Podsumowanie:

Dzięki temu ćwiczeniu zdaliśmy sobie sprawę jakimi niebezpieczeństwami grozi słaba ochrona serwisu WWW. Program, którego użyliśmy do skanowania podatności, okazał się przejrzystym i dobrym dla początkującego testera zabezpieczeń narzędziem. Okazało się również, że słabo zabezpieczone aplikacje są bardzo podatne nawet na najprostsze sztuczki "hakerskie" typu XSS czy SQL Injection. Takie ataki mogą wykonywać nawet osoby nie mające pojęcia o programowaniu, czy szeroko pojętej informatyce. Ćwiczenie laboratoryjne nauczyło nas nie tylko tego jak przeprowadzać ataki, ale przede wszystkim, że trzeba pisać aplikacje odporne na tego typu zdarzenia, oraz odpowiednio projektować infrastrukturę wdrażanych systemów.