Взлом веб-серверов - обзор

Веб-сервер - это система, используемая для хранения, обработки и доставки веб-сайтов. Он предназначен для размещения веб-приложений, позволяя клиентам получать доступ к этим приложениям.

Он реализует архитектуру модели клиент-сервер, в которой он выполняет роль сервера, а браузер - роль клиента.

Веб-серверы состоят из:


  • Корень документа - папка, в которой хранятся HTML-файлы веб-сайта
  • Корень сервера - папка, в которой хранятся конфигурация, журнал и исполняемые файлы
  • Дерево виртуальных документов - тип хранилища, расположенный на другом диске и используемый, когда исходный диск заполняется
  • Виртуальный хостинг - размещение более одного домена на одном сервере
  • Веб-прокси - сервер, расположенный между клиентом и сервером, что означает, что все запросы, поступающие от клиента, проходят через прокси на сервер, а не напрямую на сервер


Угрозы и атаки веб-сервера

Как и любая компьютерная система, веб-серверы тоже могут быть скомпрометированы. Злоумышленники используют различные методы для запуска атак на целевые веб-серверы и получения несанкционированного доступа.

Некоторые из атак включают:


DoS / DDoS-атаки

DoS / DDoS-атака - это атака, при которой злоумышленник отправляет большое количество запросов на целевой веб-сервер, чтобы сервер не функционировал должным образом.

Взлом DNS-сервера

Атака с перехватом DNS-сервера - это атака, при которой злоумышленник нацеливается на DNS-сервер и корректирует его настройки отображения, перенаправляя клиентов на поддельный сервер злоумышленника, который обслуживает вредоносный веб-сайт злоумышленника.

Атаки с усилением DNS

Атака с усилением DNS - это атака, при которой злоумышленник использует рекурсивный DNS-запрос для отправки большого количества запросов с IP-адресом цели на DNS-сервер, предлагая ему ответить на IP-адрес цели и таким образом перегрузить сервер цели.

Атаки с обходом каталогов

Атака с обходом каталогов - это атака, при которой злоумышленник манипулирует целевым URL-адресом, чтобы получить доступ к ограниченным каталогам.


MITM атаки

Атака «человек посередине» - это атака, при которой злоумышленник перехватывает трафик, идущий от клиента к серверу и обратно. Они делают это, обманывая клиента, заставляя его думать, что злоумышленник является прокси-сервером. Как только клиент принимает соединение от злоумышленника, вся связь между клиентом и сервером проходит через злоумышленника, позволяя им украсть информацию.

Фишинговые атаки

Фишинговая атака - это атака, при которой злоумышленник отправляет адресату вредоносные ссылки по электронной почте. Как только цель нажимает на ссылку, она перенаправляется на вредоносный веб-сайт, который предлагает им предоставить конфиденциальную информацию. Затем злоумышленник крадет эту информацию.

Дефицит веб-сайта

Атака с искажением веб-сайта - это атака, при которой злоумышленник вносит изменения в содержимое целевого веб-сайта.

Неправильная конфигурация веб-сервера

Атака неправильной конфигурации веб-сервера - это атака, при которой злоумышленник использует уязвимости в неправильной конфигурации сервера.


Атаки с разделением HTTP-ответа

Атака с разделением HTTP-ответа - это атака, при которой злоумышленник вставляет новые строки в заголовки ответов, заставляя сервер разделять один ответ на два. Затем злоумышленник может контролировать первый ответ, исходящий от сервера, и перенаправлять клиента на вредоносный веб-сайт.

Отравление веб-кеша

Отравление веб-кеша - это атака, при которой злоумышленник заменяет кэшированное содержимое вредоносным.

Атаки грубой силы SSH

Атака методом перебора SSH - это атака, при которой злоумышленник получает учетные данные SSH и создает туннели SSH между двумя хостами, через которые он может затем передавать вредоносный контент.

Атаки взлома пароля веб-сервера

Атака взлома пароля веб-сервера - это атака, при которой злоумышленник взламывает пароли целевого сервера и использует их для выполнения новых атак.


Атаки на веб-приложения

Атака веб-приложения - это атака, при которой злоумышленник использует уязвимости в коде приложения.



Методология взлома

Методология взлома веб-сервера предоставляет злоумышленникам шаги, которые необходимо выполнить для успешной атаки.

Вот эти шаги:

  • Соберите информацию о целевом веб-сервере
  • Узнайте о возможностях удаленного доступа, портах и ​​службах сервера.
  • Зеркальное отображение целевого веб-сайта, чтобы просматривать его в автономном режиме
  • Обнаружить уязвимости
  • Выполнять атаки с перехватом сеанса и взломом паролей

На этапе сбора информации злоумышленник может попытаться захватить robots.txt цели цели. файл, который содержит каталоги и файлы, скрытые от поисковых роботов. Этот файл может предоставить злоумышленнику такую ​​информацию, как пароли, электронные письма и скрытые ссылки.


Чтобы выполнить вышеупомянутые шаги и добиться успеха во взломе, злоумышленники используют такие инструменты, как Metasploit а также Wfetch .

Metasploit - это платформа для тестирования на проникновение, которая позволяет находить, использовать и проверять уязвимости.

Wfetch - это инструмент, который отображает запрос и ответ, чтобы можно было легко понять общение. Его можно использовать для создания HTTP-запросов, которые проверяют производительность новых веб-сайтов или веб-сайтов, содержащих новые элементы, такие как Active Server Pages (ASP) или беспроводные протоколы.



Противодействие атакам на веб-сервер

Рекомендуется, чтобы сеть веб-хостинга состояла из трех частей:

  • Интернет
  • DMZ
  • Внутренняя сеть

Веб-сервер следует разместить в DMZ, чтобы он был изолирован как от Интернета, так и от внутренней сети. Каждая часть должна быть защищена межсетевым экраном и иметь собственный концентратор или коммутатор.

Еще одна контрмера - обеспечить регулярное обновление сервера и применение исправлений безопасности и исправлений. Неиспользуемые порты и протоколы должны быть заблокированы, а также весь ненужный трафик ICMP.

Пароли по умолчанию и неиспользуемые учетные записи по умолчанию должны быть соответственно изменены и отключены.

Журналы следует часто проверять, чтобы гарантировать, что сервер не был взломан.

Изменения в исполняемых и обычных файлах можно обнаружить, запустив сценарий системы обнаружения изменений веб-сайта, который периодически выполняет сравнение хэшей файлов, чтобы определить, были ли в них внесены какие-либо изменения, и вывести предупреждение.