Поиск известных изъянов
Как всегда, особое внимание следует уделять очевидным брешам в системе защиты. Это необходимо в основном потому, что и хакеры обращают на них внимание в первую очередь. Несколько разрушительных изъянов Web существует до сих пор, хотя о них стало широко известно еще несколько лет назад. Отличительной особенностью атак этого типа является то, что многие из них легко обнаружить.
Сценарии автоматизации, применяемые новичками
В данный момент как никогда уместна фраза "Пусть друзья будут рядом, а враги – еще ближе". Используемые в основном начинающими взломщиками, сканирующие сценарии (чаще всего написанные известными хакерами) зачастую могут помочь в обнаружении некоторых известных изъянов. Многие средства поиска таких брешей можно найти на Web-узле компании Technotronic (www.technotronic.com).
Phfscan.c
Изъян PHF (более подробно описанный ниже) был одной из первых применяемых для взлома брешей в сценариях Web-серверов. Этот изъян позволяет взломщику локально запускать любую команду, как если бы он был пользователем Web-сервера. Часто это приводит к тому, что файл паролей /etc/passwd оказывается загруженным на компьютер взломщика. В выявлении такого изъяна как администратору, так и хакеру, может помочь несколько программ и сценариев. Программа pfhscan.c является одной из наиболее популярных. Перед использованием ее нужно откомпилировать (gcc phfscan.c -о phfscan), подготовить список узлов, которые нужно просканировать (для создания такого списка подойдет утилита gping), назвать файл со сгенерированным списком host.phf и поместить его в один каталог с программой. После запуска двоичного файла (phfscan) программа начнет выдавать предупреждения о найденных уязвимых серверах.
cgiscan.c
Cgiscan – это удобная небольшая утилита, созданная в 1998 году Бронком Бастером (Bronc Buster). Она предназначена для сканирования узлов и поиска среди них тех, которые подвержены старым изъянам, таким как PHF, count, cgi, test-cgi, PHP, handler, webdist.cgi, nph-test-cgi и многих других. Программа осуществляет поиск уязвимых сценариев в тех каталогах, где они обычно находятся, и пытается ими воспользоваться. Результат работы утилиты выглядит примерно следующим образом.
[root@funbox-b ch!4]# cgiscan www.somedomain.com New web server hole and info scanner for elite kode kiddies coded by Bronc Buster of LcF – : iov 1998 updated Jan 1999 Getting HTTP version Version: HTTP/1.1 200 OK Date: Fri, 16 Jul 1999 05:20:25 GMT Server: Apache/1.3.6 (UNIX) secured_by_ Raveri/1. 4. 1 Last-Modified: Thu, 24 Jun 1999 22:25:11 GMT ETag: "17d007-2a9c-3772bC47" Accept-Ranges: bytes Content-Length: 10908 Connection: close Content-Type: text/html Searching for phf:.. No:.E'our.rf.. Searching for Count.cgi:..Not Found. Searching for test-cgi:..Nc:Found.. Searching for php.cgi:..Nov.Found. Searching for handler:..NotFound.. Searching for webgais:..Not Found.. Searching for websendmail:..Not Found.. Searching for webdist.cgi:..Not Found.. Searching for faxsurvey:..Not Found.. Searching for htmlscript:..Not Found.. Searching for pfdisplay:..Not Found.. Searching for perl.exe:..Not Found.. Searching for wwwboard.pl:. Not Found.. Searching for www-sql:..Not Found.. Searching for service.pwd:..Not Found.. Searching for users.pwd:..Not Found.. Searching for aglimpse:..Not Found.. Searching for man.sh:..Not Found.. Searching for view-source:..Not Found.. Searching for campas:..Not Found.. Searching for nph-test-cgi:..Not Found.. [gH] – aka gLoBaL hElL – are lame kode kiddies
В Internet можно найти десятки сценариев, предназначенных для сканирования. На узле http://www.hackingexposed.com/ содержатся ссылки на самые популярные Web-узлы, на которых содержится самая разнообразная информация по вопросам безопасности.