GradientTop
PC
Vodeći IT časopis u Srbiji
PC #212 > Komunikacije
ARHIVA BROJEVA | O ČASOPISU | POSTANI SARADNIK | PRETRAGA
preview
Sajtovi na udaru
Marko Uskoković
Poslednjih nedelja mediji u Srbiji su se često bavili napadima na domaće sajtove koji su, kako je izgledalo, dolazili iz čitavog sveta. Kako zapravo funkcionišu ti napadi i kakve su nam šanse da se od njih zaštitimo? Za savete smo pitali stručnjake Mainstream-a, najvećeg domaćeg Web hosting provajdera.
- PC #212 (Jul/Avgust 2014)
- U prodaji po ceni od 200 din

broj

Sajtovi na udaru

Ko vrši napade?

Script-kiddies image

Veliki broj alatki i skripti kojima se mogu iskoristiti propusti u programima i na veb sajtovima dostupni su na Internetu. Vredni i pametni hakeri ih koriste da bi razumeli te propuste i naučili kako da ih ne prave, a tzv. script-kiddies ih koriste zarad sopstvene zabave, da bi zadivili drugare, osvetili se nekome ko ih je uvredio na socijalnim mrežama, da bi ponizili suparničku navijačku grupu i slično. Napadi koje obavljaju script-kiddies mogu onemogućiti pristup sajtu, narušiti mu izgled, kompromitovati naloge, lozinke i privatne informacije registrovanih članova. U svetu je bilo slučajeva u kojima su ovakvi napadi bili usmereni i na velike sajtove (Yahoo, eBay, CNN) sa manjim ili većim posledicama, a bilo je i slučajeva privođenja napadača i osuđivanja na uslovnu ili zatvorsku kaznu (npr. maloletnik Michael Calce i osamnaestogodišnjak Jeffrey Lee Parson).

Haktivisti

Haktivista je izraz nastao 1995. godine od reči “hakovati” i “aktivista” i opisuje osobu koja koristi računare i računarske mreže da bi izrazila protest ili nanela štetu političkim, ekonomskim i drugim društvenim subjektima. Haktivisti često vrše deface napade koji narušavaju izgled i sadržaj sajtova kako bi na njima ostavili poruke koje tako dolaze do posetilaca, a takođe hakovanjem dolaze do informacija koje su inače skrivene od javnosti i obelodanjuju ih. Ako se uzme u obzir da su njihove aktivnosti u suštini oblici civilne neposlušnosti, često usmerene protiv diktatorskih vlada određenih država, globalizma i kapitalizma, nije čudno što mediji i državni organi haktiviste uglavnom predstavljaju kao sajber-teroriste. Napadi na sajtove, međutim, nisu glavne aktivnosti haktivista – češće se organizuju u cilju širenja određenih ideja i informacija, suzbijanja cenzure i zaštite privatnosti.

Anonimusi

Anonymous je decentralizovana virtualna zajednica haktivista, bez vođe, članstva i autoritativne komande okupljena oko ideje slobodnog i otvorenog Interneta. Oni su od 2004. godine organizovali brojne akcije usmerene protiv cenzure, kontrole i nadgledanja Interneta, protiv Sajentološke crkve, sajtova sa dečijom pornografijom, vlada i organizacija koje su podržale SOPA i PIPA zakone i ACTA sporazum. Na meti su bile i kompanije koje su uskratile svoje servise Wikileaks-u i sajtovi vlada nekoliko država koje su ga cenzurisale. Anonimusi su aktivni i van mreže – učestvuju na građanskim protestima i uličnim demonstracijama širom sveta, kao što su Occupy i 99% protesti, sakrivajući svoj identitet stilizovanim Gaj Foks maskama, čime žele da pošalju poruku da pripadaju većoj grupi i da nisu usamljeni u svojim idejama.

Komunikacija i koordinacija aktivista putem društvenih mreža i IRC-a je otvorena i najavljenim akcijama svako se može priključiti. Dovoljno je, svojevoljno, instalirati programe kao što je LOIC i tako pomoći da targetirani sajt bude oboren. Takav, neformalan i nehijerarhijski sistem u kojem delaju pojedinci je doprineo tome da se Anonimusi u poslednje vreme sve češće pominju kao pokret, a ne kao neka određena grupa haktivista.

Botnet

Botnet, u kontekstu ilegalnih mrežnih i računarskih aktivnosti, je skup kompromitovanih računara i/ili računara zaraženih virusima, trojancima i drugim mallware softverom kojima određena osoba ili grupa ljudi može da kontroliše računare i izvršava kod i komande koje želi. Primeri aktivnosti koje se obavljaju pomoću botnet-ova su slanje SPAM-a, krađa ličnih i poverljivih informacija kao što su brojevi kreditnih kartica, napadi na druge računare i DDoS napadi. Vlasnici računara koji su deo botnet-a gotovo nikad ne znaju da imaju udela u takvim aktivnostima, a identitet napadača je teško utvrditi.

Veličine botnet-ova su različite, od 200-500 računara do stotine hiljada. Zainteresovanim klijentima koji žele da naude konkurenciji ili protivnicima, botnet-ovi su dostupni putem DDoS servisa i booter-a (npr. http://www.ddossite.biz/ i http://top10booters.com/) po cenama koje se kreću od $10 do $100 na sat. Plaćanje se vrši putem PayPal-a, Moneypak-a, Webmoney i sličnih payment servisa ili Bitcoin-ima.

Ko su mete napada?

Prema izveštaju Quarterly Global DDoS Attack Report Q1 2014[1] firme Prolexic koja se bavi mitigacijom DDoS napada, u prva tri meseca 2014. godine najveći broj napada u svetu je bio usmeren protiv industrije medija i zabave (49.8%), što uključuje i novinske i televizijske kuće. Na drugom mestu sa 17% su softverske i tehnološke kompanije, slede kompanije koje pružaju bezbednosne servise (12%) i finansijske servise (9%).

Napadi na medije su posebno osetljiva tema jer se mogu povezati sa cenzurom. Onemogućavanjem pristupa sajtovima, guši se pravo na slobodno izražavanje i otežava širenje informacija. Čak je i PirateBay osudio[2] DDoS napad jedne grupe Anonimusa na Virgin media u 2012. godini navodeći: “Verujemo u otvoren i slobodan Internet, gde svako može izraziti svoje mišljenje. Čak i ako se uopšte se ne slažemo s njima, pa čak i ako oni nas mrze. Zato se nemojte protiv njih boriti koristeći njihove ružne metode. DDOS i blokade su oblici cenzure.“.

Tipovi DoS napada

image
Photo: kryptyk/Flickr

Denial-of-Service (uskraćivanje usluga) ili skraćeno DoS napadi su aktivnosti koje napadač obavlja kako bi onemogućio regularan rad servera i servisa kojima se isporučuje neki sadržaj ili pruža neka usluga. Iskorišćavanjem propusta u operativnom sistemu, veb serveru ili aplikaciji koja se koristi za služenje sajta, izaziva se pad servera ili trošenje svih raspoloživih resursa (memorija, CPU, prostor na disku, mrežni protok) i tako se izaziva nedostupnost sajta.

Kada je poznato da određena verzija softvera ili veb aplikacije ima propust koji se može iskoristiti za DoS, verovatno je na Internetu dostupan i program ili skripta kojim i neiskusni napadač (script-kiddie) može bez mnogo truda izazvati nedostupnost ili otežavanje rada sajta. Administratori i vebmasteri mogu dosta povećati otpornost svojih sajtova na ovakve tipove napada redovnim ažuriranjem softvera i korišćenjem osnovnih alatki za sprečavanje iskorišćavanja propusta. Međutim, postoje i DoS napadi protiv kojih je teško zaštititi se.

Flood napadi

Flood ili preplavljanje servisa su napadi u kojima se šalje veliki broj legitimnih ili lažiranih zahteva ka određenom servisu, čime se troše resursi servera pa se regularnim korisnicima otežava ili onemogućava pristup. Mogu se obavljati na sva četiri nivoa TCP/IP modela.

MAC flood

Danas redak i uglavnom prevaziđen oblik napada na sloj mrežnog pristupa kojima se šalju Ehternet paketi sa lažiranim MAC adresama u cilju popunjavanja MAC tabela svičeva ili zauzimanja kompletne memorije rutera. Mogu izazvati prekid komunikacije u jednom mrežnom segmentu ili omogućiti napadaču da prisluškuje komunikaciju drugih korisnika te mreže radi pribavljanja informacija potrebnih za izvođenje drugih napada.

ICMP Flood

Internet Control Message Protocol (ICMP), jedan od osnovnih protokola među-mrežnog nivoa komunikacije kojim se šalju poruke o greškama i dijagnostikuju stanja na mreži, može se iskoristiti za napad u kom se šalje veliki broj ICMP paketa. Osim što ti paketi mogu popuniti raspoloživi mrežni protok, može se desiti da meta napada svojom ograničenom procesorkom snagom i memorijom ne može da postigne da obradi sve pakete pa se tako izaziva nedostupnost. Pošto slanje ICMP poruka ne zahteva uspostavljanje konekcije niti bilo kakav handshake, napadač može lažirati izvorišnu IP adresu ICMP paketa i tako prikriti svoj identitet i otežati mitigaciju napada. ICMP protokol je neophodan za ispravno funkcionisanje Interneta pa ga je nemoguće u potpunosti zabraniti mrežnim filtriranjem, ali je dobro podešavanje mrežnih filtera prvi korak u borbi protiv ovog tipa napada.

UDP Flood

UDP flood napadi su najčešći tip flood napada danas pošto za slanje UDP paketa nije potrebno prethodno ostvariti konekciju, te je lako lažirati izvorišnu IP adresu paketa. Masovnim slanjem velikih UDP paketa sa različitih izvora na jednu određenu destinaciju može joj se zagušiti link, kako dolaznim saobraćajem, tako i povratnim ICMP porukama o tome da destinacioni port nije dostupan. Čak i ako napadač nema na raspolaganju veliki mrežni protok za slanje tolikog saobraćaja koji može zagušiti Internet link mete, moguće je generisati ogroman broj paketa koje meta napada ne može da stigne da obradi i tako se izazove nedostupnost servisa. Alatke kao što su LOIC (Low Orbit Ion Cannon)[3] i UDP Unicorn[4] su među najpopularnijim programima otvorenog koda za masovno izvođenje UDP flood napada, laki su za korišćenje i ne zahtevaju skoro nikakvo predznanje da bi se pokrenuo napad.

Ovaj tip napada se može neutralisati podešavanjem mrežnog filtriranja u ključnim delovima mreže, ali se identitet napadača često vrlo teško utvrđuje.

SYN Flood

SYN flood DoS napad zloupotrebljava način na koji se uspostavljaju TCP konekcije. Da bi se klijent povezao na server, najpre šalje SYN paket čime zahteva povezivanje na određeni TCP port. Server zatim prihvata konekciju slanjem SYN-ACK paketa klijentu i odvaja memoriju za informacije o toj konekciji, kako bi naredni klijentovi paketi sa postavljenim ACK flegom mogli biti obrađeni kao deo TCP konekcije. Ovaj proces uspostavljanja konekcije se zove “three-way handshake”.

Prilikom izvođenja SYN flood napada, šalju se hiljade SYN paketa sa lažiranom izvorišnom IP adresom. Server šalje SYN-ACK pakete lažiranim IP adresama koji će najverovatnije biti ignorisani na destinaciji, jer ona nije ni tražila uspostavljanje konekcije, ali će neko vreme (tipično 60 sekundi) na serveru biti odvojena memorija za novu, polu-otvorenu konekciju. Pošto se u ovom stanju napravi veliki broj konekcija, postoji mogućnost trošenja kompletne memorije ili portova na serveru, tako da legitimni korisnici ne mogu da koriste servise koje pruža server.

SYN flood napadi su čest tip napada, lako se pokreću čak i osnovnim alatkama za dijagnostiku mreže (npr. hping), a identitet napadača je prikriven lažiranjem izvorišnih IP adresa paketa. Srećom, postoji više standardnih metoda borbe protiv ovakvog tipa napada (opisani[5] u RFC 4987).

Fragmented IP napadi

Fragmentacija IP paketa je osnovni mehanizam IP protokola za prenos paketa koji su veći od MTU (maximum transmission unit) vrednosti mreže preko koje se prenos obavlja, tako što se paketi dele u fragmente dovoljno male da mogu da stanu u PDU (protocol dana unit) te mreže, a zatim se na destinaciji sakupljaju u kompletan IP paket. Zaglavnje IP paketa sadrži polje koje naznačava da paket sadrži još podataka u fragmentu koji se prenosi zasebno. Ti dodatni fragmenti često nisu podložni paketskom filtriranju mrežnih filtera i sistema za prevenciju upada, ili se filtriranje obavlja samo na prvom fragmentu. Ovakvim kompleksnim napadima iskusni napadač može sastaviti takav niz IP fragmenata koje server sastavi u kranji paket koji inače ne bi trebalo da prođe kroz zaštitni mrežni sloj. Istorijski “ping-of-death” i “teardrop” napadi su se zasnivali na slanju fragmenata koji kada se sakupe čine pakete koji izazivaju buffer-overflow operativnog sistema servera kome su upućeni. Noviji “Rose Fragmentation Attack” i “New Dawn” izazivaju[6] preterano trošenje memorije i procesorskog vremena na obradu fragmentiranih paketa tako da server ne može da postigne da obradi legitimne pakete. TCP fragmentation napadom se naziva napad u kom se deo TCP paketa zameni kasnijim fragmentom paketa, tako da aplikacija dobije TCP paket koji bi inače bio zabranjen paketskim filterom, ali koji je propušten jer je filtriran samo prvi fragment paketa.

Sockstress napad

Sockstress napad iskorišćava propuste u TCP protokolu za izazivanje DOS-a. Napadač uspostavlja legitimnu konekciju ka serveru, ali zatim šalje paket sa window size vrednošću 0 kojom naznačava da mu je bafer za prijem pun i da server treba da sačeka sa daljim slanjem podataka. Server drži otvorenu konekciju dok god mu klijent šalje takve pakete i time se zauzimaju resursi servera. Uspostavljanjem dovoljno velikog broja ovakvih konekcija, legitimni korisnici neće moći da ostvare novu konekciju ka serveru i servisi tog servera će biti nedostupni. Alatke za izvođenje ovog napada su javno dostupne i malo je predznanja neophodno za ostvarivanje ovakvog napada. Otežavajuća okolnost po napadača je što je za izvođenje ovakvog napada neophodno ostvariti legitimnu TCP konekciju pa je lako utvrditi odakle napad dolazi i ko je napadač. Prevencija ovakvih napada bez uticaja na normalan rad TCP protokola je teška, pa se kao mera zaštite mora koristiti limitiranje broja konekcija.

HTTP Flood napadi

Kada sajt bez ograničenja pruža kompleksne funkcionalnosti koje troše dosta sistemskih resursa (npr. pretraga baza podataka kompleksnim upitima), napadač može pokrenuti veliki broj zahteva za tim servisom i tako opteretiti server do te mere da ni jednostavni zahtevi ne mogu biti obrađeni. Takođe, veb sajtovi se često hostuju na deljenim serverima, sa malo resursa ili pomoću neoptimizovanih CMS-ova, tako da se naletom velikog broja zahteva i ka regularnim stranicama može zagušiti server. Često se dešava da neki tekst ili slika malog sajta osvane na velikim sajtovima kao što su Slashdot i Facebook pa veliki broj korisnika odjednom dođe na sajt i uguši ga legitimnim posetama. HTTP flood napadi ne koriste, dakle, uvek ranjivosti servera ili aplikacija, već se iskorišćava neskalabilnost i nedovoljna snaga hosting servisa radi ometanja rada sajta. Optimizacija veb aplikacije i mogućnost skaliranja mogu povećati otpornost sajta na ovakve nalete i napade.

HTTP Fragmentation napad

U ovakvom napadu uspostavlja se regularna konekcija ka veb serveru, ali se HTTP zahtevi šalju u malim fragmentima, što je sporije moguće, kako bi se veb server što duže držao zauzetim obradom pojedinih zahteva. Sa dovoljno ovakvih sporih zahteva, sajt se guši legitimnim posetiocima i sporo se učitavaju stranice, slike i drugi sadržaji. Ukoliko u napad nije uključen botnet, napadača je lako otkriti i blokirati, a u suprotnom neophodno je skaliranje aplikacije i hosting servisa tako da se može izdržati veći broj konekcija. Takođe, od koristi može biti i fino podešavanje limita trajanja HTTP konekcija, crnih i belih lista, kako bi se posle određenog vremena prekidale predugačke konekcije, a da se legitimnim korisnicima ne naruši rad.

Tipovi DDoS napada

Distributed Denial-of-Service (distribuirano uskraćivanje servisa) ili skraćeno DDoS su napadi na servere koji dolaze sa velikog broja mašina istovremeno kako bi se povećao intenzitet i uspešnost napada. S obzirom na to da se u botnet-ovima često nalaze desetine i stotine hiljada računara, ovakvi napadi mogu biti tolikog obima da se popuni Internet link ne samo servera koji služe sajt, već i link provajdera na čijoj mreži se hostuje sajt. Najveći zabeleženi DDoS napad izveden je u februaru 2014. kada je kompaniju za distribuciju sadržaja CloudFlare pogodio[7] napad ukupne veličine 400 Gbit/s.

Često se za DDoS napad u isto vreme koristi više faktora napada tako da ublažavanje i zaustavljanje napada bude teže izvodljivo. Prilikom DDoS napada može se videti i stotine hiljada različitih IP adresa koje šalju pakete na jedan server, te je jedini način za blokiranje ovog napada i osposobljavanje Internet linka provajdera da se blokira (blackhole-uje) kompletna komunikacija koja ide ka tom serveru i da se susedni i nadređeni ruteri obaveste da to isto urade. Na taj način se blokiranje može propagirati ostalim mrežama, ali se sajt time ostavlja nedostupnim. Ukoliko se sajt pomeri na drugu IP adresu, napadač će verovatno posle nekog vrmemena preusmeriti svoj napad. Napad i odbrana sajta se tako izvodi kao igra kao mačke i miša, dok se ne pronađe drugi način za mitigaciju tog konkretnog napada ili dok napad ne prođe.

Direktni DDoS napadi

Pod direktnim DDoS napadima se smatraju napadi kojima se iscrpi Internet link mete napada direktnim slanjem npr. UDP paketa od napadača do mete. Ovakvi DDoS napadi se izvode sa velikog broja zaraženih mašina koje su deo nekog botnet-a ili masovnim regrutovanjem aktivista koji dobrovoljno učestvuju u napadu na metu, kao što je to bilo tokom #OpBlackout i #OpPayback akcija Anonimusa. Direktnim DDoS napadima se lakše ulazi u trag mašinama koji šalju pakete, ali se paketi koje šalje botnet ne razlikuju od paketa koje šalje korisnik kada dobrovoljno učestvuje u napadu, tako da informacija odakle dolazi napad ne pomaže neposredno ni u sprečavanju daljeg napada, ni u otkrivanju ko stoji iza napada.

Reflektivni DDoS napadi

Reflektivni DDoS napadi potiču od jedne ili relativno malog broja mašina koje šalju pakete sa lažiranom izvorišnom IP adresom ka velikom broju legitimnih, nezaraženih servera širom Interneta. Odgovore na te pakete, ti serveri će poslati na lažiranu izvorišnu adresu paketa koja je, u stvari, meta napada. Često se za ovaj napad zloupotrebljavaju serveri poznatih sajtova koji imaju velike kapacitete linkova. Meta može biti zagušena brojem paketa koji joj stižu na obradu ili količinom protoka koji se stvara tokom ovog napada.

Amplifikovani DDoS napadi

Amplifikovani DDoS napadi su reflektivni napadi kod kojih je odgovor servera nekoliko puta veći od paketa koji je poslat, tako da napadaču nije potreban link velikog kapaciteta da bi ostvario veliki napad. Poslednjih godina, ovi napadi prestavljaju glavni vektor napada na sajtove.

ICMP napadi

Da bi se tokom ICMP flood napada generisao veliki broj ICMP paketa koji mogu da zaguše metu, napadač mora imati pristup mreži sa velikim protokom i velikom broju računara. Pošto to nije uvek slučaj, koristi se ICMP amplification ili Smurf napad kojim se ICMP echo request paket sa lažiranom izvorišnom IP adresom šalje na broadcast adresu loše podešene mreže, tako da svi uređaji iz te mreže odgovore ICMP echo reply paketom na tu lažiranu adresu, koja je, ustvari, meta napada. Ovakvi napadi se lako organizuju kada se locira ranjiva mreža, a sprečavaju se dobrim mrežnim podešavanjima.

ICMP reflection napadi su još jedan oblik ICMP flood napada koji se obavlja tako što se na zatvorene portove javno dostupnih računara na Internetu šalju UDP paketi ili zahtevi za uspostavljanje TCP konekcije pri čemu se paketi tako formiraju da se kao izvorišna IP adresa stavlja adresa mete, na koju će onda biti poslat veliki broj ICMP paketa o nedostupnosti porta (type 3, code 3). Ovakvi napadi su česti, lako se organizuju i dostupan je veliki broj gotovih skripti i programa koje ih pokreću. Neutrališu se dobrim podešavanjima paketskih filtera, ali se identitet napadača teško utvrđuje.

UDP napadi

Predstavnik UDP reflektivnih i amplifikovanih napada je Fraggle napad, koji funkcioniše slično Smurf-u ali se na broadcast adresu mreže šalje veliki broj UDP paketa sa lažiranom izvorišnom adresom tako da se povratni paketi svih mašina u toj mreži šalju na metu napada. Slanjem paketa na UDP port 7 (echo), postiže se reflektivni napad jer se ka meti prosleđuje ista količina podataka koju je napadač poslao. Korišćenjem CHARGEN servisa za generisanje nasumičnog niza karaktera, međutim, može se uloženi protok može uvećati i 358 puta[8]. Važno je napomenuti da meta napada uopšte ne mora da koristi ove dijagnostičke UDP servise da bi se napad uspešno izveo.

DNS amplifikacija

DNS amplifikacija je popularni reflektivni i amplifikovani DDoS napad koji koristi otvorene rekurzivne DNS servere za jednostavno pojačavanje napada. Lažiranjem izvorišne IP adrese DNS zahteva, odgovori se upućuju na metu napada i veoma često se propuštaju skroz do samog servera obzirom da je u pitanju tako uobičajeni paket kao što je DNS odgovor. Koeficijent amplifikacije ovakvih napada zavisi od organizovanosti napadača i od odabira DNS zapisa sa kojima će biti vršen napad. Na primer, upit za IP adresom hosta ga.me gotovo da ne daje amplifikaciju jer se vraća samo jedan rezultat pa je veličina odgovora približna veličini upita, ali zato upit za IP adresom hosta www.jrdga.info (15 bajtova zaglavlja) vraća 256 IP adresa veličine 32 bita. Ovaj hostname je legitiman ali je očigledno formiran prvenstveno radi izvođenja DNS amplifikovanih napada. Iako je amplifikacija od 20-50 puta uloženog protoka daleko manja od amplifikacije koju može da ostvari CHARGEN amplifikovani napad, DNS je daleko rašireniji i mnogo češće se ne filtrira, te ga je lakše iskoristiti za stvarni napad. Cloudflare je u 2012. godini prijavio[9] da je doživeo napad od 65Gbps izazvan DNS amplifikacijom.

NTP amplifikovani napad

NTP servis se koristi za sinhronizaciju vremena računara na Internetu. Uobičajen je na velikom broju servera i mrežnih uređaja i vrlo često je javno dostupan jer mu je i svrha da računari i uređaji mogu jedni sa drugima da se sinhronizuju. Korišćenjem MONLIST dijagnostičke komande NTP-a, koja na zahtev veličine 8 bajtova vraća listu 600 poslednjih servera sa kojima je vršena sinhronizacija veličine 1648 bajtova, napadači su u februaru 2014. godine uspeli[10] da pokrenu DDoS napad ukupnog kapaciteta 400Gbps. Korišćeno je preko 4500 NTP servera širom sveta.

Da bi se ovakvi napadi sprečili neophodno je da svi NTP serveri na svetu onemoguće ili filtriraju MONLIST i slične komande ili da se u svim mrežama na svetu uvede filtriranje ulaznih paketa (Network Ingress Filtering) opisano[11] još 2000. godine u RFC2827, kako bi se sprečilo lažiranje izvorišne IP adrese.

SNMP amplifikovani napad

Simple Network Managment Protocol (SNMP) se takođe može iskoristiti za amplifikaciju napada, sa uvećanjima protoka od 650 do 1700 puta. Napadi ovog tipa su već uočavani[12], ali su, zbog manje rasprostranjenosti servera sa otvorenim SNMP servisom, srećom, retki.

Ranjivosti servera

Apache Killer

Ubica Apača je ime ozbiljnog propusta Apache HTTPd servera, najzastupljenijeg veb servera na Internetu. Propust je otkriven u avgustu 2011. godine u verzijama pre 2.2.21 i omogućavao je napadaču da slanjem jednostavnog HTTP zahteva kojim se traže preklopljeni delovi nekog dokumenta, izazove pad servera koji služi sajt, tako što bi Apache HTTPd pojeo svu raspoloživu memoriju. Iako je dosta vremena prošlo od objavljivanja popravljene verzije, dosta veb servera još uvek izvršava starije verzije pa je neophodno da administratori tih servera ažuriraju Apache HTTPd ili primene konfiguraciju koja sprečava takve problematične zahteve.

RFI/LFI

Uključivanje udaljenih fajlova (Remote File Inclusion, RFI) je ranjivost koja se često može pronaći u veb sajtovima pisanim u PHP-u, a nastaje usled nevalidiranja ulaznih podataka. Kada postoji takav propust, napadač može postići da server na kome se hostuje sajt izvši proizvoljni kod koji se nalazi na nekom udaljenom serveru i tako pristupiti bazi podataka koju sajt koristi, izmeniti sadržaj sajta i pokrenuti napad na druge servere. Uključivanje lokalnih fajlova (Local File Inclusion, LFI) je napad sličan RFI napadu, pri čemu je server još ranjiviji usled omogućavanja snimanja izvršnih fajlova na server i izvršavanja pod lokalnim privilegijama.

SQL Injection

Ubacivanje SQL koda je takođe posledica slabe ili nepostojeće validacije ulaznih podataka, zbog kog sajt može ostati bez baze podataka ili ona može biti kompromitovana ili ukradena. Dobri programeri će proveriti svaki ulazni podatak koje korisnici šalju tako da se eventualni specijalni i komandni karakteri pravilno obrade i ne izazovu neželjeno ponašanje.

WordPress pingback

WordPress kao najpopularnija blog platforma, imao je[13] 2013. godine udela u DDoS napadima na sajtove. U pitanju nije bio propust u kodu sajta, već suviše naivna mogućnost međusobnog obaveštavanja (pingback) WordPress instanci o tome da je neki članak jednog bloga pomenut na drugom blogu. Kada primi ovakav pingback, WordPress pristupi navedenoj stranici da bi proverilo da li je članak zaista tu. Ovakvo socijalno udruživanje sajtova je dosta česta funkcionalnost sajtova i podrazumevano je uključena u svakoj instanci WordPress-a. Sa više od 100 miliona sajtova koji se zasnivaju na ovoj platformi, lako je, pokretanjem jednostavne skripte, napraviti pravi botnet i pokrenuti napad na željeni sajt koji će ga veoma brzo ugušiti prevelikim brojem zahteva.


http://www.mainstream.rs/
http://www.mcloud.rs/blog/ko-i-kako-napada-sajtove/

SLEDEĆI TEKST U PC #212
preview
Naš novi sajt
Milan Basrak


Acibadem porodilište

Heliant

CEO Summit 2024


YuNet

PC Press Studio

Čitaj PC Press

Excel kuhinjica

.

PC
Twitter Facebook Feed Newsletter