Пошук відомих вад

Як завжди, особливу увагу слід приділяти очевидним проломам в системі захисту. Це необхідно в основному тому, що і хакери звертають на них увагу насамперед. Декілька руйнівних вад Web існує до цих пір, хоча про них стало широко відомо ще кілька років тому. Відмітною особливістю атак цього типу є те, що багато з них легко виявити.

Сценарії автоматизації, вживані новачками

В даний момент як ніколи доречна фраза "Хай друзі будуть поряд, а вороги — ще ближче". Використовувані в основному початкуючими зломщиками, скануючі сценарії (найчастіше написані відомими хакерами) часто можуть допомогти у виявленні деяких відомих вад. Багато засобів пошуку таких проломів можна знайти на Web-узле компанії Technotronic (www.technotronic.com).

Phfscan.c

Вада PHF (детальніше описаний нижче) була одним з перших вживаних для злому проломів в сценаріях Web-серверов. Ця вада дозволяє зломщикові локально запускати будь-яку команду, неначебто він був користувачем Web-сервера. Часто це приводить до того, що файл паролів /etc/passwd виявляється завантаженим на комп'ютер зломщика. У виявленні такої вади як адміністраторові, так і хакерові, може допомогти декілька програм і сценаріїв. Програма pfhscan.c є одній з найбільш популярних. Перед використанням її потрібно відкомпілювати (gcc phfscan.c -о phfscan), підготувати список вузлів, які потрібно просканувати (для створення такого списку підійде утиліта gping), назвати файл із списком host, що згенерував.phf і помістити його в один каталог з програмою. Після запуску двійкового файлу (phfscan) програма почне видавати попередження про знайдені уразливі сервери.

cgiscan.c

cgiscan — це зручна невелика утиліта, створена в 1998 році Бронком Бастером (Bronc Buster). Вона призначена для сканування вузлів і пошуку серед них тих, які схильні до старих вад, таким як PHF, count, cgi, test-cgi, PHP, handler, webdist.cgi, nph-test-cgi і багато інших. Програма здійснює пошук уразливих сценаріїв в тих каталогах, де вони зазвичай знаходяться, і намагається ними скористатися. Результат роботи утиліти виглядає приблизно таким чином.

[root@funbox-b ch!4]# cgiscan www.somedomain.com
New web server hole and info scanner for
elite kode kiddies coded by Bronc
Buster of LCF - :iov 1998 updated Jan 1999
Getting HTTP version
Version:
Http/1.1 200 OK
Date: Fri, 16 Jul 1999 05:20:25 GMT
Server: Apache/1.3.6 (UNIX) secured_by_ Raveri/1. 4 . 1
Last-modified: Thu, 24 Jun 1999 22:25:11 GMT
Etag: "17d007-2a9c-3772bC47"
Accept-ranges: bytes
Content-length: 10908
Connection: close
Content-type: text/html
Searching for phf :.. No:.E'our.rf..
Searching for Count.cgi :..Not Found.
Searching for test-cgi :..Nc:Found..
Searching for php.cgi :..Nov.Found.
Searching for handler :..NotFound..
Searching for webgais :..Not Found..
Searching for websendmail:..Not Found..
Searching for webdist.cgi:..Not Found..
Searching for faxsurvey:..Not Found..
Searching for htmlscript:..Not Found..
Searching for pfdisplay:..Not Found..
Searching for perl.exe:..Not Found..
Searching for wwwboard.pl:. Not Found..
Searching for www-sql:..Not Found..
Searching for service.pwd:..Not Found..
Searching for users.pwd:..Not Found..
Searching for aglimpse:..Not Found..
Searching for man.sh :..Not Found..
Searching for view-source:..Not Found..
Searching for campas :..Not Found..
Searching for nph-test-cgi :..Not Found..
[gh] - aka global hell - are lame kode kiddies