WOJSKOWA AKADEMIA TECHNICZNA
PODSTAWY BEZPIECZEŃSTWA INFORMACJI
Sprawozdanie laboratoryjne nr 2.
Wykonali:
Hubert Muszyński
Kamil Machałowski
z grupy I0E1S1
Treść zadania laboratoryjnego:
Uruchomienie skanera podatności aplikacji Web, analiza zidentyfikowanych podatności aplikacji Superveda.
Stworzenie projektu z zaproponowanymi strefami bezpieczeństwa przedsiębiorstwa, uwzględnione powinny zostać usługi: web, serwery DNS, bazy danych, poczta elektroniczna, sieć użytkowników.
Wykonanie zadania laboratoryjnego.
Uruchomienie skanera podatności aplikacji Web, analiza zidentyfikowanych podatności aplikacji Superveda
Na zajęciach aplikacja Superveda była podatna na bardzo popularne ataki między innymi takie jak SQL Injection oraz XSS (Cross Site Scripting). Możliwe było podejrzenie zawartości bazy danych obsługującej stronę sklepu, nieautoryzowany dostęp do kont użytkowników oraz wprowadzanie skryptów do przeglądarek użytkowników aplikacji Web.
Po wprowadzeniu adresu aplikacji Superveda do programu W3AF, nastąpiło przeskanowanie aplikacji pod kontem dziur w systemie. Poniżej znajduje się kawałek logu programu.
Pierwszym atakiem który został wykonany to wprowadzenie skryptów do przeglądarki użytkowników aplikacji SuperVeda przy wykorzystaniu ataków typu Cross-Site Scripting (XSS). Do pola wyszukiwania został wpisany skrypt podany poniżej:
<SCriPT>alert(“gluk”)</SCrIPT>
Po wpisaniu tego skryptu i zatwierdzeniem go powodował on taki efekt:
Kolejnym atakiem było wpisaniu w polu użytkownika oraz hasła wpisać " x' OR '1'='1 ". Dzięki temu nasz "użytkownik" i jego "hasło" zawsze zostanie odnalezione w bazie danych , dzięki czemu zostaniemy zalogowani do serwisu.
Sieć przedsiębiorstwa ze strefami bezpieczeństwa. Uwzględnione zostały usługi: WEB, serwery DNS, bazy danych, poczta elektroniczna oraz sieć użytkowników.
Strefy bezpieczeństwa i połączenia między nimi:
Source |
Destination |
Service |
Action |
SERWERY BAZY DANYCH |
SIEĆ UŻYTKOWNIKÓW |
DB: 1433 |
Permit |
SERWERY BAZY DANYCH |
SERWERY DNS WEB POCZTA |
DB: 1433 |
Permit |
SIEĆ UŻYTKOWNIKÓW |
SERWERY BAZY DANYCH |
Sieć użytkowników: Any |
Permit |
SIEĆ UŻYTKOWNIKÓW |
SERWERY DNS WEB POCZTA |
Sieć użytkowników: Any |
Permit |
SIEĆ UŻYTKOWNIKÓW |
Any |
Sieć użytkowników : Any |
Permit |
SERWERY DNS WEB POCZTA |
SERWERY BAZY DANYCH |
Serwery DNS: 53 WEB: 80 Poczta: 993 |
Permit |
SERWERY DNS WEB POCZTA |
SIEĆ UŻYTKOWNIKÓW |
Serwery DNS: 53 WEB: 80 Poczta: 993 |
Permit |
Any |
SERWERY DNS WEB POCZTA |
Any |
Permit |
Any |
Any |
Any |
Drop |
Wnioski.
Można zauważyć, że zabezpieczenia odgrywają kluczową rolę w tworzonych systemach. Każdy tworzony system powinien być chroniony przed atakami intruzów, ponieważ niezabezpieczenie go może prowadzić do wycieku informacji tak jak to miało miejsce w przypadku SuperVeda. Początkowo ta aplikacja była kompletnie odsłonięta co skutkowało tym, że była podatna na różnego rodzaju niebezpieczne ataki tj. SQL Injection lub XSS itp. Uruchomienie aplikacji zabezpieczającej Imperva Secure Sphere zabezpieczyło system przed nieautoryzowanym dostępem intruzów z sieci. Próby ataku na aplikację SuperVeda z włączonym firewall'em zakończyły się niepowodzeniem. Stosowanie aplikacji zabezpieczających oraz tworzenie sieci z odpowiednimi strefami bezpieczeństwa zapewnia skuteczniejszą ochronę systemu. Dobre zaprojektowanie sieci utrudnia intruzowi dostęp do wszystkich zasobów. Przełamanie jednego poziomu zabezpieczeń nie oznacza, że osoba nieupoważniona ma dostęp do wszystkich zasobów systemu.