iT邦幫忙

2021 iThome 鐵人賽

DAY 23
0
Security

讓 Hacking for Dummies 一書陪我 30 天系列 第 23

Day 23 - 網站與網路應用程式攻擊

  • 分享至 

  • xImage
  •  

出於書本 Chapter 14. Web sites and Applications

前言

網站與網路應用程式因很容易透過網路存取,每個人都可以透過網路對網站進行探測。一般網站可能包含有公司行號的行銷資訊 (Marketing)、聯絡資訊與檔案下載等等,容易成為攻擊的對象(特別是要炫技的小屁孩 kiddie )。對於犯罪型的駭客來說,網站提供了一個存取像有價值的資訊的前端 (front-end)。

網路應用程式測試工具

如前面幾個章節作者都會列一些測試工具,這裡也有列了一些網路應用程式的相關測試工具,其中

  • Firefox Web Develop
    • 可以用來做手工分析以及操作的 Firefox 外掛
    • 安裝之後的樣子

https://ithelp.ithome.com.tw/upload/images/20211008/20141184ehpu68sIjW.png

  • HTTrack Website Copier
    • 原本的用途是拿來砍站用的
    • 書上介紹的使用方式,是整個站台爬 (craw) 下來做離線檢測

一般的弱點掃描工具也能拿來替網站做安全性檢測。

有哪些攻擊方式?

大部分的攻擊,就算是使用 HTTPS 也一樣能夠實現,因為傳輸媒介 (communications medium) 根本無法防範攻擊,漏洞實際上發生的位置會是在網站或是網路應用程式本身,或是這些程式所架設的伺服器上。

目錄遍歷攻擊法

目錄遍歷 (Directory traversal) 是一種很經典的網站攻擊方式,攻擊者透過瀏覽網站的結構來找出一些蛛絲馬跡,像是伺服器的資料結構與敏感的檔案,很有可能有意無意地就被找出來。書上介紹使用下面的測試確認網站的目錄結構:

  • 爬蟲 (Crawlers)
    • 像是上面提的 HTTrack Website Coper ,能夠爬出所有能被公開存取的檔案。
    • 複雜一點的網站能夠揭露更多像是腳本 (script) 與程式碼
    • 這是書上給的 HTTrack Website Coper 範例,如果掃描出來的只有一般網站在使用的 HTML 與 PDF 檔案,沒有夾帶什麼不想公諸於世的敏感資訊,就不會有太大問題。

https://ithelp.ithome.com.tw/upload/images/20211008/20141184IsmWJ6enCc.jpg

  • Google

    • 搜尋引擎也能拿來做目錄遍歷,使用的方式就是在 google 的搜尋列裡下進階的 Google Queries 語法,像是

      // 可以打任意像是 信用卡機密 等等用關鍵字組成的 list
      site:hostname keywords

      // 可以搜尋站台中任意種類的檔案,比如 .zip 或是 .pdf 等等
      filetype:file-extension hostname

    其他進階的 Google operators 像是

    • allintitle # 搜尋在網頁標題上的關鍵字,原本是 SEO 用途
    • inurl # 搜尋在網頁 URL 標題上的關鍵字
    • related # 搜尋相似的網頁
    • link # 顯示其他有連到該站台的連結

因應對策

  • 千萬不要在網站伺服器上儲存任何老舊、敏感或是其他不需要公開的檔案
  • 透過設定 robots.txt 檔案來防範來自搜尋引擎爬蟲程式
  • 確認網站伺服器只允許 必要的檔案或資料夾能透過網際網路存取
  • 盡量為伺服器更新到最新版本,來維持安全性

最後,可以考慮使用搜尋引擎的 誘捕系統 (a.k.a Honey Pot) ,例如 Google Hack Honeypot 來看看壞人都是如何透過搜尋引擎操作網站並且防範他們。

明天來看看 Input filter 相關的攻擊~晚安啦~


上一篇
Day 22 - NFS 與檔案權限
下一篇
Day 24 - Input filtering 相關攻擊
系列文
讓 Hacking for Dummies 一書陪我 30 天30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言