Hacking webservere - en oversikt

Webserver er et system som brukes til å lagre, behandle og levere nettsteder. Den er designet for å være vert for webapplikasjoner, slik at klienter får tilgang til disse applikasjonene.

Den implementerer klient-server modellarkitektur, der den har serverrollen, og nettleseren har klientrollen.

Webservere består av:


  • Dokumentrot - en mappe som lagrer HTML-filer på et nettsted
  • Serverrot - en mappe som lagrer konfigurasjons-, logg- og kjørbare filer
  • Virtuelt dokumenttre - en type lagring som er plassert på en annen disk og brukes når den originale disken blir full
  • Virtuell hosting - å hoste mer enn ett domene på en enkelt server
  • Web-proxy - en server plassert mellom klienten og serveren, noe som betyr at alle forespørsler som kommer fra klienten går gjennom proxyen til serveren, i stedet for direkte å gå til serveren


Trusler og angrep på webserveren

Akkurat som med ethvert datasystem, kan også webservere bli kompromittert. Angripere bruker forskjellige teknikker for å starte angrep på målservere og få uautorisert tilgang.

Noen av angrepene inkluderer:


DoS / DDoS-angrep

DoS / DDoS-angrep er et angrep der angriperen sender et stort antall forespørsler til målwebserveren for å forhindre at serveren fungerer som den skal.

DNS-serverkapring

DNS-server kapring angrep er et angrep der angriperen retter seg mot en DNS-server og tempererer med sine kartleggingsinnstillinger som gjør det omdirigere klienter til angriperens useriøse server som serverer angriperens ondsinnede nettsted.

DNS-forsterkningsangrep

DNS Amplification Attack er et angrep der angriperen bruker den rekursive DNS-spørringen til å sende et stort antall forespørsler med målets IP-adresse til DNS-serveren og ber den om å svare på målets IP-adresse og på en slik måte overvelder målets server.

Directory Traversal Attacks

Directory traversal attack er et angrep der angriperen manipulerer mål-URL-en for å få tilgang til begrensede kataloger.


MITM-angrep

Man-in-the-middle attack er et angrep der angriperen avskjærer trafikken som går fra klienten til serveren og tilbake. De gjør det ved å lure klienten til å tro at angriperen er fullmektig. Når klienten godtar forbindelsen fra angriperen, går hele kommunikasjonen mellom klienten og serveren gjennom angriperen, slik at de kan stjele informasjon.

Phishing-angrep

Phishing-angrep er et angrep der angriperen sender e-post til målet med ondsinnede lenker. Når målet klikker på lenken, blir de omdirigert til et ondsinnet nettsted som ber dem om å gi sensitiv informasjon. Angriperen stjeler deretter denne informasjonen.

Nettstedsutlegging

Angrep på nettsteder er et angrep der angriperen gjør endringer i innholdet på målwebområdet.

Feilkonfigurasjon av webserver

Feilkonfigurasjonsangrep på webserveren er et angrep der angriperen utnytter sårbarhetene i serverkonfigurasjonen.


HTTP Response Splitting Attacks

HTTP Response Splitting-angrep er et angrep der angriperen injiserer nye linjer i responsoverskrifter, noe som gjør at serveren deler ett svar i to. Angriperen kan da kontrollere det første svaret som kommer fra serveren og omdirigere klienten til et ondsinnet nettsted.

Forgiftning av nettbuffer

Nettbufferforgiftning er et angrep der angriperen erstatter hurtigbufret innhold med ondsinnet.

SSH Brute Force-angrep

SSH brute force-angrep er et angrep der angriperen tilegner seg SSH-påloggingsinformasjonen og oppretter SSH-tunneler mellom to verter der de deretter kan overføre ondsinnet innhold.

Webserverpassordsprekkende angrep

Webserverpassord-krakkingangrep er et angrep der angriperen sprekker målserverpassordene og bruker dem til å utføre nye angrep.


Nettapplikasjonsangrep

Nettapplikasjonsangrep er et angrep der angriperen utnytter sårbarheter i applikasjonskoden.



Hackingsmetodikk

Web Server Hacking Methodology gir angripere trinn å følge for å utføre et vellykket angrep.

Disse trinnene er:

  • Samle informasjon om målwebserveren
  • Lær om serverens muligheter for ekstern tilgang, porter og tjenester
  • Speil målnettstedet for å bla gjennom det offline
  • Oppdag sårbarheter
  • Utfør øktkapring og angrep med passordknusing

I løpet av informasjonsinnsamlingstrinnet kan angriperen prøve å skaffe seg målets robots.txt filen, som inneholder kataloger og filer som er skjult for web-crawlere. Denne filen kan gi angriperen informasjon som passord, e-post og skjulte lenker.


For å utføre de ovennevnte trinnene og lykkes med hacking, bruker angripere verktøy som Metasploit og Wfetch .

Metasploit er en penetrasjonstestplattform som lar deg finne, utnytte og validere sårbarheter.

Wfetch er et verktøy som viser forespørselen og svaret slik at kommunikasjonen lett kan forstås. Den kan brukes til å lage HTTP-forespørsler som tester ytelsen til nye nettsteder eller nettsteder som inneholder nye elementer, for eksempel Active Server Pages (ASP) eller trådløse protokoller.



Webserver angriper mottiltak

Det anbefales at et nettvertsnettverk består av tre deler:

  • Internett
  • DMZ
  • Internt nettverk

Webserveren skal plasseres i DMZ slik at den er isolert fra både internett og internt nettverk. Hver del skal beskyttes av en brannmur og ha sin egen hub eller bryter.

En annen mottiltak er å sikre at serveren oppdateres regelmessig, og at sikkerhetsoppdateringer og hurtigreparasjoner blir brukt. Porter og protokoller som ikke brukes, bør blokkeres, samt all unødvendig ICMP-trafikk.

Standardpassord og ubrukte standardkontoer bør endres og deaktiveres.

Logger bør overvåkes ofte for å sikre at serveren ikke er kompromittert.

Endringer i kjørbare og vanlige filer kan oppdages ved å kjøre skript for nettstedsendringsdeteksjonssystem som med jevne mellomrom utfører en hash-sammenligning av filer for å avgjøre om det er gjort noen endringer i dem og varsle.