Проведение атаки на уязвимость
Прямая инъекция статического кода (Direct Static Code Injection) состоит из внедрения кода непосредственно в ресурс, используемый приложением во время обработки запроса пользователя. Это, как правило, выполняется посредством манипуляций с библиотеками и файлами шаблонов, которые создаются на основе вводимых пользователем данных, не прошедших должной обработки. Действия, определенные во внедрённом коде, выполняются на стороне сервера в контексте процесса вэб-сервера, когда от пользователя поступает запрос к модифицированным ресурсам.
Для проведения этой атаки используем уязвимость движка для форума Ultimate PHP Board 1.8.2. (CVE-2003-0395), позволяющую атакующему выполнить любой php-код. Это возможно из-за того, что некоторые пользовательские переменные, такие как IP-адрес и User-Agent, хранятся в текстовом файле /db/iplog, который используется страницей admin_iplog.php для отображения статистики пользователей. Внедрённый вредоносным запросом код выполняется, когда администратор форума просматривает эту страницу.
Заглавная страница форума получает информацию о браузере просматривающего её пользователя и записывает её в переменную HTTP_USER_AGENT в файл /db/iplog .
Рисунок
15. Код заглавной страницы, выполняющий
сбор информации о просмотрах
Из ОС Linux/Debian по протоколу telnet через 80 порт подключимся к узлу 192.168.56.104, на котором находится форум, запросим заглавную страницу index.php и передадим в поле User-Agent вредоносный код.
Рисунок
16. Выполнение атаки
Администратор заходит на страницу IP статистики. Поле User-Agent для вредоносного запроса оказывается пустым, так как содержит php-код.
Рисунок
17. Искаженная запись в логе IP-адресов
Выполнение вредоносного php-кода позволило исказить заглавную страницу форума.
Рисунок
18. Результат проведенной атаки
Заключение
В результате выполнения курсовой работы была создана и описана модель ЛВС малого офиса, для которой были составлены типовые модели угроз и нарушителя. При помощи средств виртуализации и программных средств Сканер-ВС и Nessus, предназначенных для сканирования системы и обнаружения угроз, был проведен анализ безопасности и выявлены потенциальные угрозы. Большинство уязвимостей связано с отсутствием обновлений ПО, установленного на АРМ сотрудников, и неправильной его конфигурацией. Кроме того была проведена атака на сервер с использованием уязвимости Ultimate PHP Board (CVE-2003-0395), которая привела к сбою работы форума.
Недостатки системы безопасности могут привести к серьёзным последствиям, таким как утечка обрабатываемых персональных данных или нарушение работоспособности системы в целом. Для обеспечения безопасности необходимо использовать лицензионное ПО, сертифицированные средства защиты информации, средства контроля и мониторинга межсетевой активности, антивирусное ПО и устанавливать последние обновления. Оценку безопасности системы следует проводить в соответствии с международными стандартами ISO 15408 и ISO 17799, руководящими документами Гостехкомиссии РФ и другими нормативными документами.