Une étude de cas dans le piratage d'applications web

Dans cette étude de cas, Caleb Sima, un expert en sécurité de l'application bien connue, a été engagé pour pirater les applications Web d'un client. Cet exemple de découvrir un risque de sécurité est une bonne mise en garde pour aider à protéger vos informations privées.

La situation

M. Sima a été embauché pour effectuer un test de pénétration d'applications Web pour évaluer la sécurité d'un site financier bien connu. Equipé avec rien de plus que l'URL du site financier principal, M. Sima mis à trouver ce que d'autres sites existent pour l'organisation et ont commencé à l'aide de Google pour rechercher des possibilités.

M. Sima abord exécuter un scan automatisé contre les principaux serveurs de découvrir toute fruits mûrs. Cette analyse a fourni des informations sur la version du serveur web et quelques autres informations de base, mais rien de ce qui est avéré utile sans autre recherche. Bien que M. Sima effectué l'analyse, ni le IDS ni le pare-feu remarqué tout de son activité.

Ensuite, M. Sima a publié une demande au serveur sur la page Web initiale, qui est retourné quelques informations intéressantes. L'application web semble être d'accepter de nombreux paramètres, mais comme M. Sima a continué à naviguer sur le site, il a remarqué que les paramètres dans l'URL sont restés les mêmes.

M. Sima a décidé de supprimer tous les paramètres dans l'URL pour voir quelles informations le serveur reviendrait lorsqu'il est interrogé. Le serveur a répondu avec un message d'erreur décrivant le type d'environnement d'application.

Ensuite, M. Sima effectué une recherche Google sur la demande qui a abouti à une documentation détaillée. M. Sima trouvé articles et notes techniques plusieurs dans cette information qui lui a montré comment l'application a fonctionné et ce défaut peut exister fichiers. En effet, le serveur avait plusieurs de ces fichiers par défaut.

M. Sima utilisé cette information pour sonder l'application ultérieure. Il découvre rapidement les adresses IP internes et les services que l'application offrait. Dès que M. Sima savait exactement quelle version l'administrateur courait, il voulait voir ce qu'il pourrait trouver.

M. Sima a continué à manipuler l'URL de l'application en ajoutant caractères dans la déclaration de contrôler le script personnalisé. Cette technique lui a permis de capturer tous les fichiers de code source. M. Sima a noté quelques noms intéressants, y compris VerifyLogin.htm, ApplicationDetail.htm, CreditReport.htm, et ChangePassword.htm.

Ensuite, M. Sima a essayé de se connecter à chaque fichier par l'émission d'une URL spécialement formaté pour le serveur. Le serveur a renvoyé une Utilisateur non connecté message pour chaque demande et a déclaré que la connexion doit être faite à partir de l'intranet.

Le résultat

M. Sima savait où se trouvaient les fichiers et était capable de sniffer de la connexion et de déterminer ce que le ApplicationDetail.htm fichier mis une chaîne de cookie. Avec peu de manipulation de l'URL, M. Sima a touché le jackpot. Ce fichier a renvoyé des informations client et cartes de crédit quand une nouvelle application client a été en cours de traitement. CreditReport.htm a permis à M. Sima pour voir client le statut de rapport de crédit, des informations de fraude, diminué application état, et d'autres informations sensibles.

La leçon: les pirates peuvent utiliser de nombreux types d'informations à percer des applications web. Les exploits individuels dans cette étude de cas étaient mineures, mais lorsqu'il est combiné, elles ont abouti à de graves vulnérabilités.

Caleb Sima était un membre fondateur de l'équipe X-Force à Internet Security Systems et a été le premier membre de l'équipe de tests de pénétration. M. Sima a co-découvert SPI Dynamics (plus tard acquis par HP) et devenir son CTO, ainsi que directeur de SPI Labs, le groupe de recherche et de développement d'applications de sécurité au sein de SPI Dynamics.