Arquivo de 9 de Novembro de 2009

Forced Browsing Attacks.

Muitas vezes durante a implantação de sistemas, os desenvolvedores acabam utilizando scripts auxiliares para ajudar muitas vezes no debug, ou então gerenciar de forma mais simples algum processo junto a database, ou então simplesmente ao utilizar sistemas já prontos, como por exemplo o Joomla, acabam ficando para traz arquivos que podem ser perigosamente utilizado por atacantes.

Entre esse tipo de “sucata” acabam ficando:
- infs,
- arquivos.inc
- pastas com arquivos de backup, e etc

Apesar de modificar a configuração do Webserver para evitar que o index da pasta seja visível e adicionando um index em todas as pastas, existem diversas possibilidades de detectar estes dados e na maioria das vezes eles contém informações como senhas de base de dados, source code de aplicação ou então algum script privilegiado que foi negligenciado pelo desenvolvedor.

O ataque de Forced Browsing consiste no uso de diversas técnicas que visam enumerar entre as possibilidades disponiveis:

- Diretórios importantes e/ou que podem conter informações privilegiadas ( /admin, /install, /setup, /includes, etc);
- Arquivos de backup com códigos-fonte de aplicações ( index.php.bak, login.bak, etc);

Uma ferramenta automatizada pode varrer milhares de combinações em sua database de conhecimento de possíveis pastas. O nikto é uma delas. Ele atua como ferramenta opensource para teste de diversas vulnerabilidades em sistemas web tais como:

- Ma configuração no webserver
- Ataques de xss, sql injection, entre outros
- Ataques de Force Browsing.

A técnica utilizada para enumerar recursos escondidos no webserver é conhecida como fuzzing e é vastamente utilizada por analistas de segurança a fim de detectar vulnerabilidades até entao desconhecidas.

Basicamente a tecnica consiste de enviar requisições para o servidor web e analisar a resposta.

Quando um recurso existente é acessado, o servidor responde com a mensagem HTTP 200 OK.

Da mesma forma existem diversas outras respostas que podem evidenciar a existencia de informações interessantes tais como a mensagem HTTP 403 que refere-se a necessidade de autenticação para acessar o conteudo no webserver.

Eliminando as respostas 404 ( not found ) a ferramenta consegue minerar as respostas e separar somente as informações realmente interessantes.

Adicionar comentário 9 de Novembro de 2009 às 11:12 TrustSign

Calendário

Novembro 2009
S T Q Q S S D
« Out   Dez »
 1
2345678
9101112131415
16171819202122
23242526272829
30  

Minhas Publicações Recentes

Publicações por Mês

Estatísticas

Meta