I0E1S1 Muszy-ski Macha-owski, WAT, semestr V, podstawy bezpieczeństwa informacji


WOJSKOWA AKADEMIA TECHNICZNA

PODSTAWY BEZPIECZEŃSTWA INFORMACJI

Sprawozdanie laboratoryjne nr 2.

Wykonali:

Hubert Muszyński

Kamil Machałowski

z grupy I0E1S1

  1. Treść zadania laboratoryjnego:

  1. Wykonanie zadania laboratoryjnego.

    1. Uruchomienie skanera podatności aplikacji Web, analiza zidentyfikowanych podatności aplikacji Superveda

Na zajęciach aplikacja Superveda była podatna na bardzo popularne ataki między innymi takie jak SQL Injection oraz XSS (Cross Site Scripting). Możliwe było podejrzenie zawartości bazy danych obsługującej stronę sklepu, nieautoryzowany dostęp do kont użytkowników oraz wprowadzanie skryptów do przeglądarek użytkowników aplikacji Web.

0x08 graphic
Po wprowadzeniu adresu aplikacji Superveda do programu W3AF, nastąpiło przeskanowanie aplikacji pod kontem dziur w systemie. Poniżej znajduje się kawałek logu programu.

Pierwszym atakiem który został wykonany to wprowadzenie skryptów do przeglądarki użytkowników aplikacji SuperVeda przy wykorzystaniu ataków typu Cross-Site Scripting (XSS). Do pola wyszukiwania został wpisany skrypt podany poniżej:

<SCriPT>alert(“gluk”)</SCrIPT>

Po wpisaniu tego skryptu i zatwierdzeniem go powodował on taki efekt:

0x01 graphic

Kolejnym atakiem było wpisaniu w polu użytkownika oraz hasła wpisać " x' OR '1'='1 ". Dzięki temu nasz "użytkownik" i jego "hasło" zawsze zostanie odnalezione w bazie danych , dzięki czemu zostaniemy zalogowani do serwisu.

    1. Sieć przedsiębiorstwa ze strefami bezpieczeństwa. Uwzględnione zostały usługi: WEB, serwery DNS, bazy danych, poczta elektroniczna oraz sieć użytkowników.

0x01 graphic

    1. Strefy bezpieczeństwa i połączenia między nimi:

Source

Destination

Service

Action

SERWERY BAZY DANYCH

SIEĆ UŻYTKOWNIKÓW

DB: 1433

Permit

SERWERY BAZY DANYCH

SERWERY DNS

WEB

POCZTA

DB: 1433

Permit

SIEĆ UŻYTKOWNIKÓW

SERWERY BAZY DANYCH

Sieć użytkowników: Any

Permit

SIEĆ UŻYTKOWNIKÓW

SERWERY DNS

WEB

POCZTA

Sieć użytkowników: Any

Permit

SIEĆ UŻYTKOWNIKÓW

Any

Sieć użytkowników : Any

Permit

SERWERY DNS

WEB

POCZTA

SERWERY BAZY DANYCH

Serwery DNS: 53

WEB: 80

Poczta: 993

Permit

SERWERY DNS

WEB

POCZTA

SIEĆ UŻYTKOWNIKÓW

Serwery DNS: 53

WEB: 80

Poczta: 993

Permit

Any

SERWERY DNS

WEB

POCZTA

Any

Permit

Any

Any

Any

Drop

  1. Wnioski.

Można zauważyć, że zabezpieczenia odgrywają kluczową rolę w tworzonych systemach. Każdy tworzony system powinien być chroniony przed atakami intruzów, ponieważ niezabezpieczenie go może prowadzić do wycieku informacji tak jak to miało miejsce w przypadku SuperVeda. Początkowo ta aplikacja była kompletnie odsłonięta co skutkowało tym, że była podatna na różnego rodzaju niebezpieczne ataki tj. SQL Injection lub XSS itp. Uruchomienie aplikacji zabezpieczającej Imperva Secure Sphere zabezpieczyło system przed nieautoryzowanym dostępem intruzów z sieci. Próby ataku na aplikację SuperVeda z włączonym firewall'em zakończyły się niepowodzeniem. Stosowanie aplikacji zabezpieczających oraz tworzenie sieci z odpowiednimi strefami bezpieczeństwa zapewnia skuteczniejszą ochronę systemu. Dobre zaprojektowanie sieci utrudnia intruzowi dostęp do wszystkich zasobów. Przełamanie jednego poziomu zabezpieczeń nie oznacza, że osoba nieupoważniona ma dostęp do wszystkich zasobów systemu.



Wyszukiwarka

Podobne podstrony:
I9G2S1 Skrzypczynski Węgrecki lab1, WAT, SEMESTR V, podstawy bezpieczenstwa informacji
egzamin 00, WAT, SEMESTR V, podstawy symulacji, psy, symulacja, symulacja egzamin
bank-program, WAT, SEMESTR V, podstawy symulacji, projekty, PS, PSym
opracowane zagadnienia na egz - Kopia, Zarządzanie ZZL studia WAT, I SEMESTR, Podstawy Zarządzania
PKM projekt, Lotnictwo i Kosmonautyka WAT, semestr 3, Podstawy konstrukcji maszyn, Projekt przekładn
2008-Laboratorium-zadania, WAT, SEMESTR V, podstawy symulacji, projekty, PS, PSym
PSy - Sprawozdanie, WAT, SEMESTR V, podstawy symulacji, 17 moj
I9G2S1 Wegrecki sprawozdanie, WAT, SEMESTR V, podstawy symulacji
zadania laboratoryjne, WAT, SEMESTR V, podstawy symulacji, projekty, PS, RURKU, psy lrm-20091111, la
Program cwiczenia z przedmiotu BPiE, WAT, semestr IV, Bezpieczeństwo i ergonomia pracy
pbi zaliczenie, Studia, WAT Informatyka, Pbi - podstawy bezpieczeństwa informacji
bpie sciaga, WAT, semestr IV, Bezpieczeństwo i ergonomia pracy
kospekt, Studia, WAT Informatyka, Pbi - podstawy bezpieczeństwa informacji
Typowe zagrożenia, WAT, semestr VII, Bezpieczeństwo systemów informatycznych
Zadanie, WAT, semestr VII, Bezpieczeństwo systemów informatycznych

więcej podobnych podstron