Jūs nenorite, kad jūsų serverio failų sistemą aplankytų nepageidaujamas lankytojas, tačiau užpuolikai rado būdą, kaip tai padaryti. Ką tu gali padaryti?
Kai naudotojai lankosi jūsų svetainėje, jie pasitiki, kad jų duomenys yra saugūs ir kad jie bei kiti vartotojai negali pasiekti failų ar aplankų, kurių jie neturi teisės matyti. Tačiau, jei jūsų svetainė yra pažeidžiama dėl katalogų perėjimo, užpuolikai gali pasinaudoti šia silpnybe pereiti iš vieno katalogo į kitą ir peržiūrėti slaptus failus, kurie turėtų būti apriboti.
Šios atakos pasinaudoja jūsų svetainės failų sistemos pažeidžiamumu ir gali atskleisti svarbią informaciją, o tai gali sukelti rimtą pavojų saugumui. Šiame straipsnyje išnagrinėsime, kas yra aplankų perėjimo atakos, kodėl jos tokios pavojingos ir kaip galite nuo jų apsaugoti savo svetainę.
Kas yra katalogų perėjimas?
Katalogų perėjimas taip pat žinomas kaip kelio perėjimas arba kopimas į katalogą. Tai yra pažeidžiamumas svetainėse, kuriose užpuolikas gali pasiekti arba skaityti failus, esančius už žiniatinklio serverio šakninio katalogo, kuriame veikia programa, manipuliuodamas žiniatinklio programos įvestimi.
Kai vykdoma katalogų perėjimo ataka, užpuolikai gali skaityti ir kartais net keisti apribotus failus ir katalogus žiniatinklio programų serveryje. Jie gali pasiekti konfidencialius serverio failus, pvz., duomenų bazės konfigūracijos failus, šaltinio kodo failus, slaptažodžių failus ir žurnalo failus.
Katalogas „Traversal“ ir „CŽV triada“.
Katalogų perėjimas pažeidžia visus tris aspektus vadinama CŽV triada. CŽV triada, kuri yra plačiai pripažintas informacijos saugumo modelis, reiškia konfidencialumą, vientisumą ir prieinamumą.
Konfidencialumas
Katalogų perėjimo atakos pažeidžia konfidencialumą, nes apriboti ir neskelbtini failai, kuriuose yra informacijos apie sistemą ir kitus vartotojus, tampa prieinami užpuolikui. Visa vartotojui nepriklausanti informacija turi būti laikoma paslaptyje ir neturi būti prieinama pašaliniams asmenims. Pavyzdžiui, užpuolikas, gavęs prieigą prie vartotojų duomenų bazės ir jų asmens identifikavimo informacijos (PII), pažeidžia sistemos ir vartotojo duomenų konfidencialumą.
Sąžiningumas
Svarbu pažymėti, kad aplankų perkėlimas gali ne tik sustoti, kai kibernetiniai užpuolikai gali skaityti ir pasiekti failus jūsų žiniatinklio serveryje. Jei failų sistemos leidimai jūsų serveryje nėra tinkamai sukonfigūruoti, įsilaužėlis gali pakeisti arba ištrinti svarbius failus ar katalogus serveryje, taip pakenkdami jame esančių duomenų vientisumui serveris. Pavyzdžiui, užpuolikas gali modifikuoti konfigūracijos failą, kad suteiktų sau administracinę prieigą prie serverio arba panaikintų sistemos failus.
Prieinamumas
Yra daug būdų, kaip užpuolikas gali naudoti katalogų perėjimo ataką, kad pakenktų jūsų serverio pasiekiamumui. Vienas iš pavyzdžių yra svarbių failų ištrynimas serveryje, dėl kurio sutrinka serverio veikimas arba žiniatinklio programa nebereaguoja. Kitas pavyzdys – užpuolikas padidina privilegijas ir perkrauna serverį užklausomis, dėl kurių jis sugenda.
Kaip veikia katalogų perėjimo ataka?
Katalogų perėjimo ataka gali įvykti įvairiais būdais. Kai užpuolikai įtaria, kad svetainė yra pažeidžiama katalogų perėjimo atakoms, jie pradeda kurti kenkėjiškas užklausas, kurias reikia siųsti į tą žiniatinklio programą.
Kai kuriose svetainėse failai rodomi naudojant URL parametrą. Pavyzdžiui, šios svetainės URL: https://www.website.com/download_file.php? failo pavadinimas=failas.pdf. Tai reiškia, kad žiniatinklio programa iš serverio iškviečia failą „file.pdf“, naudodama santykinį URL kelią. Šiuo atveju programa skaito iš kelio: www/var/documents/file.pdf.
Paprastas katalogų perėjimo atakos pavyzdys yra „dotdotslash“ katalogo perėjimo ataka. UNIX ir Windows sistemose ../ simboliai naudojami norint grįžti vienu katalogu. Užpuolikas gali pakeisti dokumento pavadinimą į ../../../../../etc/passwd. Tada URL atrodo taip: https://www.website.com/download_file.php? failo pavadinimas=../../../../../etc/passwd
Užpuolikas gali naudoti šį naudingą apkrovą žiniatinklio programoje, kad galėtų pereiti kelis katalogus atgal ir bandyti iš serverio failų sistemos nuskaityti failą „/etc/passwd“.
„Unix“ pagrįstose sistemose failas „/etc/passwd“ yra paprasto teksto failas, kuriame yra informacijos apie vietinių vartotojų abonementų sistemoje, pvz., vartotojų vardai, vartotojo ID, namų katalogai ir apvalkalas pirmenybės. Prieiga prie šio failo gali būti naudinga užpuolikams, nes ji gali suteikti informacijos apie galimas vartotojų paskyras ir sistemos spragas.
Kitos katalogų perėjimo atakos apima URL kodavimą, dvigubą kodavimą ir nulinių baitų atakas.
Kodėl katalogų perėjimo atakos yra tokios pavojingos?
Katalogų perėjimo atakos laikomos labai pavojingomis, nes jos beveik niekada nėra atskiros atakos. Išnaudojamas katalogo perėjimo pažeidžiamumas gali sukelti daugybę kitų pažeidžiamumų. Kai kurie iš šių pažeidžiamumų apima:
Informacijos atskleidimas
Informacija atskleidžiama, kai užpuolikas gauna prieigą prie neskelbtinos informacijos, kurios jie neturi teisės matyti. Katalogų kirtimo atakos gali sukelti informacijos atskleidimo pažeidžiamumą, nes jos leidžia užpuolikams pasiekti failus ir katalogus, esančius už numatytos žiniatinklio programos ribų. Naudodami katalogų apkrovą ir kenkėjiškas užklausas, užpuolikai gali pakilti į katalogų hierarchiją, kad galėtų pasiekti slaptus failus ir katalogus serveryje. Šis pažeidžiamumas gali būti naudojamas norint išgauti slaptą informaciją, pvz., slaptažodžius ar vartotojo duomenis.
Vietinis failų įtraukimas
Taip pat galima pereiti prie katalogo sukelti vietinių failų įtraukimo (LFI) atakas. LFI yra žiniatinklio programų pažeidžiamumas, leidžiantis užpuolikui įtraukti ir vykdyti failus, kurie saugomi tame pačiame serveryje kaip žiniatinklio programa LFI. ataka, užpuolikas gali naudoti žiniatinklio programos įvesties parametrus, kad nurodytų vietinio failo kelią, kurį žiniatinklio programa įtraukia be tinkamo patvirtinimas. Tai leidžia užpuolikui vykdyti savavališką kodą, peržiūrėti neskelbtiną informaciją arba manipuliuoti programos elgesiu.
Kaip galite užkirsti kelią katalogų perėjimo atakai?
Pirmiausia patikrinkite vartotojo įvestį prieš ją apdorodami, kad įsitikintumėte, jog joje yra tik numatyti simboliai ir nėra jokių specialiųjų simbolių ar kelio skyriklių. Kita rekomendacija – naudoti filtrus ir į baltąjį sąrašą įtrauktas leistinas vertes, kad būtų galima palyginti vartotojo įvestį ir blokuoti įtartinas reikšmes. Tačiau visus šiuos metodus patyręs įsilaužėlis gali apeiti.
Geriausias būdas užkirsti kelią katalogų perėjimo atakoms yra neleisti vartotojams iš viso pateikti įvesties į failų sistemą.
Imkitės iniciatyvaus požiūrio į savo saugumą
Kibernetinėje ekosistemoje yra daug pažeidžiamumų. Norėdami apsaugoti savo turtą nuo pažeidžiamumų, turėtumėte reguliariai atlikti saugumo vertinimus ir prasiskverbimo bandymai, siekiant nustatyti galimus trūkumus ir juos pašalinti prieš pradedant juos išnaudoti užpuolikai.
Be to, gaukite naujausius programinės įrangos ir sistemų saugos pataisymus ir naujinimus, nes daugelis pažeidžiamumų gali būti pataisyti naudojant šiuos naujinimus. Taikydami iniciatyvų požiūrį į kibernetinį saugumą galite padėti užtikrinti, kad jūsų organizacijos turtas būtų apsaugotas nuo pažeidžiamumo ir išliks apsaugotas nuo kibernetinių grėsmių.