Защити свой компьютер на 100% от вирусов и хакеров. Олег Михайлович Бойцев

Чтение книги онлайн.

СКАЧАТЬ папки должны быть доступны для просмотра. С точки зрения злоумышленника, запрос не отличается от указанного раньше. Он просто обращается к директории и анализирует результат. Его не беспокоит, почему сервер ведет себя подобным образом.

      ♦ Некоторые компоненты веб-сервера позволяют получать список файлов, даже если это не разрешено в конфигурационных файлах. Обычно это возникает в результате ошибок реализации, когда сервер генерирует список файлов при получении определенного запроса.

      ♦ Базы данных поисковых машин (Google, Wayback machine) могут содержать кэш старых вариантов сервера, включая списки файлов.

      Идентификация приложений (Web Server/Application Fingerprinting). Определение версий приложений используется злоумышленником для получения информации об используемых сервером и клиентом операционных системах, веб-северах и браузерах. Кроме того, эта атака может быть направлена на другие компоненты веб-приложения, например службу каталога, сервер баз данных или используемые технологии программирования. Обычно подобные атаки осуществляют, анализируя:

      ♦ особенности реализации протокола HTTP;

      ♦ заголовки HTTP-ответов;

      ♦ используемые сервером расширения файлов (ASP или JSP);

      ♦ значение cookie (ASPSESSION и т. д.);

      ♦ сообщения об ошибках;

      ♦ структуру каталогов и используемое соглашение об именах (Windows/UNIX);

      ♦ интерфейсы поддержки разработки веб-приложений (Frontpage/WebPublisher);

      ♦ интерфейсы администрирования сервера (iPlanet/Comanche);

      ♦ версию операционной системы.

      Для определения версий клиентских приложений обычно используется анализ HTTP-запросов (порядок следования заголовков, значение User-agent и т. д.). Однако для этих целей могут применяться и другие техники. Так, например, анализ заголовков почтовых сообщений, созданных с помощью клиента Microsoft Outlook, позволяет определить версию установленного на компьютере браузера Internet Explorer.

      Наличие детальной и точной информации об используемых приложениях очень важно для злоумышленника, поскольку реализация многих атак (например, переполнение буфера) специфично для каждого варианта операционной системы или приложения. Кроме того, детальная информация об инфраструктуре позволяет снизить количество ошибок и, как следствие, общий "шум", производимый атакующим. Данный факт отмечен в HTTP RFC 2068, рекомендующим, чтобы значение заголовка Server HTTP-ответа являлось настраиваемым параметром. Пример: сообщения об ошибках – ошибка 404 сервером Apache обозначается фразой Not Found, в то время как IIS 5.0 отвечает сообщением Object Not Found (листинг 1.14).

      Листинг 1.14. Сообщение об ошибке, формируемое сервером Apache

      # telnet target1.com 80

      Trying target1.com…

      Connected to target1.com.

      Escape character is '^]'.

      HEAD /non-existent-file.txt HTTP/1.0

      HTTP/1.1 404 Not Found

      Date: Mon, 07 Jun 2004 14:31:03 GMT

      Server: Apache/1.3.29 (UNIX)

      mod_perl/1.29

      Connection: close

      Content-Type: text/html; charset=iso-

      8859-1

      Синтаксис заголовков также может отличаться. СКАЧАТЬ