WOJSKOWA AKADEMIA TECHNICZNA

PODSTAWY BEZPIECZEŃSTWA INFORMACJI

Sprawozdanie laboratoryjne nr 2.

Wykonali:

Hubert Muszyński

Kamil Machałowski

z grupy I0E1S1

1. Treść zadania laboratoryjnego:

• Uruchomienie skanera podatności aplikacji Web, analiza zidentyfikowanych podatności aplikacji Superveda.

• Stworzenie projektu z zaproponowanymi strefami bezpieczeństwa przedsiębiorstwa, uwzględnione powinny zostać usługi: web, serwery DNS, bazy danych, poczta elektroniczna, sieć użytkowników.

2. Wykonanie zadania laboratoryjnego.

1. Uruchomienie skanera podatności aplikacji Web, analiza zidentyfikowanych podatności aplikacji Superveda

Na zajęciach aplikacja Superveda była podatna na bardzo popularne ataki między innymi takie jak SQL Injection oraz XSS (Cross Site Scripting). Możliwe było podejrzenie zawartości bazy danych obsługującej stronę sklepu, nieautoryzowany dostęp do kont użytkowników oraz wprowadzanie skryptów do przeglądarek użytkowników aplikacji Web.

Po wprowadzeniu adresu aplikacji Superveda do programu W3AF, nastąpiło przeskanowanie aplikacji pod kontem dziur w systemie. Poniżej znajduje się kawałek logu programu.

Pierwszym atakiem który został wykonany to wprowadzenie skryptów do przeglądarki użytkowników aplikacji SuperVeda przy wykorzystaniu ataków typu Cross-Site Scripting (XSS). Do pola wyszukiwania został wpisany skrypt podany poniżej:

<SCriPT>alert(“gluk”)</SCrIPT>

Po wpisaniu tego skryptu i zatwierdzeniem go powodował on taki efekt:

Kolejnym atakiem było wpisaniu w polu użytkownika oraz hasła wpisać " x' OR '1'='1 ". Dzięki temu nasz "użytkownik" i jego "hasło" zawsze zostanie odnalezione w bazie danych , dzięki czemu zostaniemy zalogowani do serwisu.

2. Sieć przedsiębiorstwa ze strefami bezpieczeństwa. Uwzględnione zostały usługi: WEB, serwery DNS, bazy danych, poczta elektroniczna oraz sieć użytkowników.

3. Strefy bezpieczeństwa i połączenia między nimi:

Source	Destination	Service	Action
SERWERY BAZY DANYCH	SIEĆ UŻYTKOWNIKÓW	DB: 1433	Permit
SERWERY BAZY DANYCH	SERWERY DNS WEB POCZTA	DB: 1433	Permit
SIEĆ UŻYTKOWNIKÓW	SERWERY BAZY DANYCH	Sieć użytkowników: Any	Permit
SIEĆ UŻYTKOWNIKÓW	SERWERY DNS WEB POCZTA	Sieć użytkowników: Any	Permit
SIEĆ UŻYTKOWNIKÓW	Any	Sieć użytkowników : Any	Permit
SERWERY DNS WEB POCZTA	SERWERY BAZY DANYCH	Serwery DNS: 53 WEB: 80 Poczta: 993	Permit
SERWERY DNS WEB POCZTA	SIEĆ UŻYTKOWNIKÓW	Serwery DNS: 53 WEB: 80 Poczta: 993	Permit
Any	SERWERY DNS WEB POCZTA	Any	Permit
Any	Any	Any	Drop

3. Wnioski.

Można zauważyć, że zabezpieczenia odgrywają kluczową rolę w tworzonych systemach. Każdy tworzony system powinien być chroniony przed atakami intruzów, ponieważ niezabezpieczenie go może prowadzić do wycieku informacji tak jak to miało miejsce w przypadku SuperVeda. Początkowo ta aplikacja była kompletnie odsłonięta co skutkowało tym, że była podatna na różnego rodzaju niebezpieczne ataki tj. SQL Injection lub XSS itp. Uruchomienie aplikacji zabezpieczającej Imperva Secure Sphere zabezpieczyło system przed nieautoryzowanym dostępem intruzów z sieci. Próby ataku na aplikację SuperVeda z włączonym firewall'em zakończyły się niepowodzeniem. Stosowanie aplikacji zabezpieczających oraz tworzenie sieci z odpowiednimi strefami bezpieczeństwa zapewnia skuteczniejszą ochronę systemu. Dobre zaprojektowanie sieci utrudnia intruzowi dostęp do wszystkich zasobów. Przełamanie jednego poziomu zabezpieczeń nie oznacza, że osoba nieupoważniona ma dostęp do wszystkich zasobów systemu.

---