- •Формальные модели шифров
- •Математическая модель шифра замены
- •Шифры, не распространяющие искажений типа «замена знаков»
- •Шифры, не распространяющие искажений типа «пропуск-вставка знаков»
- •Последовательность атаки
- •Переполнение буфера
- •Что такое переполнение буфера
- •Принцип действия
- •Виды переполнения буфера
- •Почему так много уязвимых программ
- •Способ защиты
- •Десять примеров переполнения буфера
- •Что такое netcat?
- •Способ применения
- •Эксплоиты для взлома nt
- •Брешь в безопасности rds службы iis
- •Совместно используемые ресурсы
- •Взлом с помощью относительного пути
- •Захват dsn с использованием утилит odbc Datasource
- •Поглощение ресурсов процессора с использованием mstask.Exe и Microsoft Internet Explorer
- •Запуск программ с помощью ie 5.X или Outlook
- •Запуск команд на Web-сервере с помощью iis 5.0
- •Возможность подмены контроллера домена в wins
- •Методы взлома unix
- •Что такое cgi-программа?
- •Принцип работы
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Подробное описание
- •Способ применения
- •Симптомы атаки
- •Методы защиты
- •Версия ос
- •XTest позволяет клиенту переправлять события другому клиенту. Такими событиями могут быть нажатия клавиш. При этом событие через сервер может пересьиаться другому клиенту в
- •Дополнительная информация
- •Люки и троянские кони
- •Подмена системных утилит
- •Подмена на уровне файлов
- •Защита от подмены на файловом уровне
- •Наборы утилит для nt
- •Эксплоит Brown Orifice
- •Программы слияния
- •Сокрытие следов
- •Как скрыть следы
- •Файлы журналов
- •Файлы журналов Linux
- •Взгляд со стороны взломщика
- •Invisible.С — прячет все следы работы взломщика от имени пользователя root в системе.
- •Защита файлов журналов в unix
- •Регулярное проведение резервного копирования
- •Использование одноразовых носителей
- •Кодирование
- •Регулярный просмотр файлов журналов
- •Ведение журналов в nt
- •Взгляд со стороны взломщика
- •Защита файлов журналов в nt
- •Защита от изменений информации о файле
- •Дополнительные файлы
- •Защита от размещения дополнительных файлов
- •Сокрытие следов в сети
- •Общая картина
- •Сценарии взлома
- •Сканеры телефонных линий
- •Другие типы взлома
- •Переполнение буфера в bind 8.2
- •Взлом с помощью cookie
- •Области доступа snmp
- •Анализ сетевых пакетов и dsniff
- •Взлом pgp adk
- •Уязвимость паролей cisco ios
- •1. Получить файлы настройки через snmp
- •Вклинивание в процесс передачи ключа
- •Взлом с нттр-туннелированием
Симптомы атаки
Для того чтобы определить факт взлома, нужно просто просмотреть журналы Web-сервера и выяснить, не запускался ли сценарий aglimpse. Поскольку в данном эксплоите используется протокол HTTP, слежение за пакетами в сети, скорее всего, не поможет. Попытка взлома с помощью aglimpse выглядит, как обычный запрос на получение данных с Web-сервера. Таким Iобразом, чтобы засечь такую попытку взлома, нужно проверять журналы.
Расположение и формат записей журнала зависит от типа сервера. Например, для сервера Apache нужно искать строку со словом aglimpse, после которого следует несколько символов, затем "IFS". Эту строку нужно искать в журнале access_log. Команда, выполняющая такой поиск выглядит так:
# egrep -i 'aglimpse.*(\| |IFS)' {ServerRoot}/logs/access_log
Расположение файла и метод ведения журнала напрямую зависят от типа ОС и версии Web-сервера. Если действия пользователя, от имени которого запущен Web-сервер, заносятся в журнал, любые отклонения от нормального поведения Web-сервера будут отражены в журнале.
Методы защиты
Для того чтобы защититься от взлома с помощью этого эксплоита, нужно выполнить несколько действий.
Во-первых, Web-сервер ни в коем случае не должен запускаться от имени пользователя root. Прочитайте документацию по своему серверу, чтобы узнать, как ограничить его права до необходимого минимума. Пользователь, от имени которого запускается сервер, должен иметь только те права доступа, которые необходимы для его полноценной работы. Кроме того, он не должен иметь доступа к файлам настройки Web-сервера. Это не позволит взломщику изменить настройку Web-сервера, с тем чтобы он запускался с полномочиями пользователя root. Кроме того, этому пользователю нельзя предоставлять прав записи в те файлы, которые обслуживаются Web-сервером. Тогда взломщик не сможет подменить содержимое Web-страниц вашего узла.
Кроме того, обновите используемую версию Webglimpse, что приведет к замене сценария aglimpse на Webglimpse. Новую версию можно скачать по адресу: http: //Webglimpse.net. В этой версии указанные ошибки исправлены. Если вы используете HTTPGlimpse, перейдите на Webglimpse.
Дополнительная информация
Чтобы получить дополнительную информацию по данному вопросу, посетите такие узлы:
-
http://www-7.ее.Columbia.edu/httpd/cgi/pi/aglimpse.txt
-
http://www.cert.org/tech_tips/cgi_metacharacters.html
-
ftp://ftp.auscert.org.au/pub/auscert/advisory/AA- 97.28.GlimpseHTTP.WebGlimpse.vuls
-
http://www.cert.org/advisories/CA-97.25.CGI_metachar.html
-
http://www.codetalker.com/advisories/cert/vb-97__13.html
-
http://glimpse.cs.arizona.edu/security.html
Campas
Этот эксплоит использует Web и позволяет выполнять на сервере любые команды.
Описание эксплоита
-
Название: Campas.
-
Идентификатор CVE: CVE-1999-0146.
-
Варианты: отсутствуют.
-
Операционная система: UNIX.
-
Протоколы/службы: HTTP, порт 80.
Программа campas — это выполняемый файл, который находится на Web-сервере и подвержен атаке, позволяющей выполнять произвольные команды на сервере. Данный эксплоит непосредственно не влияет на работу сервера или операционной системы, однако может быть использован для выполнения других атак.
Программа campas поставляется с httpd-сервером NCSA версии 1.2.
Принцип работы
Проблема при работе с этим сценарием заключается в том, что он принимает аргументы, содержимое которых не проверяется. Таким образом, сценарию можно передать команды, которые приведут к взлому системы. Возможность передачи этих команд не была предусмотрена разработчиками сценария.
Как мы уже видели на примере aglimpse, многие сценарии сталкиваются с этой проблемой. Довольно часто автор сценария считает, что содержимое передаваемых сценарию аргументов определено содержимым разработанной формы или ссылки, которая указывает на данный сценарий. Таким образом, многие авторы сценариев полагаются на ограничения, накладываемые HTML-станицей. Поскольку обычно сценарий проверяется в работе с HTML-страницей, эта ошибка остается незамеченной. Если сценарий получит непрогнозируемые значения, он может передать их командной оболочке.