- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Захват dsn с использованием утилит odbc Datasource
Данный эксплоит демонстрирует, насколько важно удалять с компьютера все программы, которые не нужны для работы. Чем больше программ присутствует в вашей системе, тем больше вероятность взлома.
С помощью утилит ODBC Datasource, которые входят в состав IIS, взломщик может поменять настройки ODBC DSN в реестре серверов Windows NT 4. При этом взлом может проводиться из сети Internet. По умолчанию на сервере Windows NT не запрещено изменять настройки реестра, которые касаются IIS и DSN. Именно благодаря этому удается модифицировать настройку источника данных и таким образом совершить захват данных сервера. Взломщик может направить данные на свой компьютер, получить имена и пароли пользователей, получить доступ к SQL-серверу, украсть важную информацию и даже продублировать структуру данных, чтобы заполнять собственную базу данными, полученными с сервера жертвы. Все необходимые для этого инструменты находятся прямо на сервере, что позволяет проводить взлом с любой платформы и с любого компьютера.
Ниже приведены действия, которые должны быть выполнены для проведения данного взлома.
1. Сбор информации с помощью URL-сканирования, сканирования портов и сканирования NetBIOS.
-
Настройка сервера взломщика.
-
Взлом ODBC DSN на сервере-жертве.
-
Получение учетных записей SQL.
-
Вторжение в SQL-сервер.
-
Заметание следов.
Ниже указаны признаки взлома с помощью данного метода.
-
Журналы IIS содержат информацию об обращениях к файлам mkilog.ехе и newdsn.exe.
-
SQL-соединения разрываются или не устанавливаются.
-
Наличие неизвестных серверов в настройках ODBC DSN.
-
Наличие обращений к SQL-серверу с неизвестных удаленных IP-адресов.
Чтобы защититься от этого метода взлома, можно просто удалить все файлы из папки intepub\scripts\tools на всех серверах, к которым можно обращаться из Internet. Если необходимо вести SQL-журналы для IIS, сервер SQL должен находиться за брандмауэром и быть хорошо защищен. Кроме того, следует правильно настроить права доступа к ключу реестра HKLM\SOFTWARE\ODBC\ и запретить обращение к IUSR__Victim для записи (данный ключ используется для анонимного доступа к Web-серверу).
Защита SQL-сервера с помощью брандмауэра предотвращает проникновение, однако не защищает Web-сервер от DoS-атаки, поскольку сервер все равно может отправлять имя пользователя и пароль взломщику.
Компания Microsoft предоставляет список действий для проверки безопасности Web-сервера IIS. Этот список можно найти по адресу: http://www.microsoft.com/security/products/iis/checklist.asp.
Однако простое следование этим инструкциям не гарантирует защиту от захвата DSN.
Winfreeze
Этот эксплоит использует подмену адресов и демонстрирует, как взломщик может вывести из строя систему, проявив немного фантазии.
Подробное описание
Взломщик может инициировать волну сообщений ICMP/Redirect, которые будут выглядеть так, как будто они отсылаются маршрутизатором. Для этого взломщик подменяет исходящий IP-адрес адресом маршрутизатора. Компьютер жертвы в результате изменит таблицу маршрутизации, отреагировав на эти сообщения, которые якобы получены с маршрутизатора. В результате машина-жертва на базе Windows зависнет и не сможет работать в сети.
Обычно для применения этой атаки используется запускаемая программа, проводящая атаку. Эта программа запускается из командной строки с одним параметром — IP-адресом жертвы.
Симптомами такой атаки является большое количество ICMP-пакетов с IP-адресом внутреннего интерфейса маршрутизатора.
Для защиты от такой атаки нужно просто настроить сетевые устройства так, чтобы нельзя было провести подмену IP-адресов компьютеров подсети. Это достигается с помощью фильтров, которые имеются на большинстве маршрутизаторов.