Как искать дыры в сайтах

Как узнать, есть ли на сайте уязвимости

У многих предпринимателей есть свои интернет-проекты, для большинства из которых создаются отдельные сайты. Однако далеко не все владельцы сайтов всерьез задумываются о кибербезопасности. Данный материал будет полезен людям, которые хотят выявить все уязвимые места и свести к минимуму риск взлома собственного сайта.

Поиск уязвимостей на сайте – зачем это нужно?

Сайт – это одна из составляющих любого интернет-проекта. Сайт необходим для поддержания продаж и репутации компании или отдельного человека. Но у владельцев веб-сайтов далеко не всегда хватает знаний, средств или и того и другого для обеспечения должного уровня безопасности.

Если на сайте есть уязвимость, специализированный бот без особых проблем ее найдет и установит в слабое место вирусный файл, который будет делать свои дела в удаленном режиме. Подобные вирусы называются шеллами. Кроме того, хакеры без особых проблем смогут взломать уязвимый сайт и украсть конфиденциальные данные.

Если вовремя не нейтрализовать имеющиеся уязвимости, поисковые системы добавят веб-сайту негативную отметку «Возможно, данный сайт был взломан. Его посещение небезопасно». Из-за наличия данной отметки сайт опустится на самое дно поисковой выдачи. Кроме того, уязвимости на сайте могут привести к:

На восстановление сайта владельцу понадобятся недели или даже месяцы. В запущенных случаях сайты и вовсе не подлежат восстановлению, а это чревато существенным количеством потраченных денег и запятнанной репутацией.

Чтобы этого не случилось, необходимо в первую очередь думать не об устранении уязвимостей, а о предотвращении их появления на сайте. Для этого необходимо регулярно осуществлять поиск потенциальных уязвимостей на сайте. Далее будут рассмотрены способы, позволяющие провести подобную процедуру.

Поиск уязвимостей на сайте – как это можно сделать?

Если бы не было специализированных сервисов, владельцам сайтов приходилось бы вычитывать тысячи строк программного кода, и проверять файлы конфигурации с целью поиска возможных ошибок. Благо этот процесс можно автоматизировать. Существуют различные утилиты и сервисы, которые позволяют осуществить проверку веб-страниц на наличие уязвимостей буквально за несколько минут.

Специализированные программы помогают найти слабые места сайта на различных стадиях его развития и существования. Стоит отметить, что подобные программы используются как владельцами сайтов, так и хакерами. Одни хотят обезопасить свой веб-сайт, а другие – найти «дыру» и запустить туда вирус.

О сервисе Spyse

Spyse – это один из наиболее популярных специализированных онлайн-сервисов, который помогает найти уязвимости на сайте. С его помощью можно собирать информацию о различных веб-сайтах, хранить ее, использовать расширенный поиск и не только. Данный сервис будет особенно полезен системным администраторам и владельцам сайтов.

О сервисе Spyse – преимущества, недостатки, особенности, возможности

Одной из главных особенностей этого онлайн-сервиса является его база данных, которая использует более 50 серверов. На этих серверах хранится порядка семи миллиардов разнообразных документов, получить доступ к которым, можно буквально за несколько секунд. База данных это онлайн-сервиса регулярно обновляются.

К недостаткам данного сервиса стоит отнести лишь высокую стоимость профессиональной версии, а также отсутствие русскоязычной версии пользовательского интерфейса. Конечно, можно обойтись и стандартным пакетом услуг, но за дополнительные возможности онлайн-сервиса Spyse придется доплачивать.

Отдельно стоит отметить возможность расширенного поиска. Данная функция была создана для обработки технической информации. При расширенном поиске можно использовать до пяти различных поисковых параметров в одном запросе, что весьма существенно экономит время.

О сервисе Spyse – примеры использования

Чтобы узнать, есть ли на вашем сайте или на интересующей вас веб-странице уязвимости, для начала необходимо войти на официальный сайт сервиса. Чтобы в дальнейшем видеть всю информацию о сайте, нужно зарегистрироваться. Для этого нажмите на кнопку «Sign Up», расположенную справа вверху, введите действующий адрес электронной почты и придумайте пароль.

После регистрации перед вами появится поисковая строка, в которую можно будет ввести название домена, IP-адрес, AS, CIDR, SSL-сертификат, название организации и так далее. Для примера введем в предоставленное поле домен «ru.wikipedia.org».

После нажатия на кнопку поиска на экране появится все информация об указанном домене. В левой части указан рейтинг безопасности сайта – Spyse Scoring. В данном случае значение равно 100, что говорит об отсутствии каких-либо уязвимостей.

Здесь же можно увидеть IP-адрес домена, узнать название организации и геолокацию. Ниже можно найти все ссылки, имеющиеся на сайте, а также список доменов с аналогичными IP-адресами, MX и NS-серверами.

Если на проверяемом сайте будут обнаружены уязвимости, оценка безопасности будет меньше 100 баллов. В любом подобном случае на странице с результатами проверки появится блок под названием «CVE», в котором можно будет увидеть имеющиеся недочеты с их подробным описанием.

Советы и выводы

Если не уделять должного внимания безопасности сайта, это может обернуться массой проблем: от падения продаж до судебных разбирательств. Чтобы потом не разгребать проблемы, необходимо заранее предотвратить попадание на сайт вируса путем поиска имеющихся уязвимостей. Лучше всего с этим справится специализированный онлайн-сервис Spyse, который буквально за пару минут просканирует сайт и выдаст оценку его безопасности.

Пожалуйста, оставьте свои комментарии по текущей теме статьи. Мы крайне благодарны вам за ваши комментарии, лайки, дизлайки, отклики, подписки!

Пожалуйста, оставляйте ваши отзывы по текущей теме статьи. Мы крайне благодарны вам за ваши комментарии, отклики, дизлайки, лайки, подписки!

Источник

Как найти уязвимость на сайте

В своих прошлых статьях я нередко упоминал об различного рода уявимостях на сайтах. Это «Уязвимость в AdsManager на практике» и «Пример уязвимости в JCE», а также более обобщенно в других материалах. Для тех, кто не знает чем бекдор отличается от XSS я посвящу уже следующую статью «Описание распространненых уязвимостей».

Поиск уязвимостей на сайте, через которые проник вирус

Здесь я уделю внимание поиску дыр на сайте, а также некоторым советам, как их залатать от дальнейшего проникновения вирусов.

Как найти уязвимость по логам?

Допустим,что вирус уже проник на сайт. Мы успешно (наверно) удалили все вирусы с сайта и задумались над защитой от дальнейшего вторжения. Здесь могут помочь мои советы из статьи «Как защитить сайт от попадания вирусов». Многие владельцы веб-страниц хотят знать, как вирус попал на сайт и как предотвратить заражение в дальнейшем. В таком случае требуется более детальный анализ появления вирусов на сайте. И я расскажу простой метод поиска уязвимости, который поможет даже начинающему веб-мастеру.

Итак, для начала нам надо найти логи сервера. По умолчанию они находятся в отдельной папке logs выше директории сайта. Чаще всего имеют имена файлов access_log и error_log. Что делать, если не смогли найти их?

— Вариант первый, они у вас могут быть не включены в настройках сервера, поэтому стоит включить генерацию отчетов.

— Вариант второй, запросить логи у техподдержки, они подскажут, как вам поступить дальше.

Ищем шеллы на сайте!

Будем считать, что мы нашли необходимые файлы. Теперь нам надо найти шелл на сайте, именно сам исполняемый файл, а не системные файлы со вставками вредоносного кода. Мы смотрим на дату последнего изменения данного файла, и именно за эту дату стоит открыть файл access_log в удобном текстовом редакторе. Далее воспользуемсся поиском и введем имя нашего вредоносного файла. Находим упоминание в логе и смотрим за происшествиями, которые произошли до запуска исполняемого файла, особенно с того же айпи.

Если хорошо вчитаться в логи, то можно воспроизвести моменты атаки и таким образом найти уязвимый код или действия, повлекшие взлом на сайте. К примеру, часто бывает, что взламывают админку тупым перебором паролей, а всё из-за того, что стоит примитивный пароль «12345».

Таким образом мы узнаем, через какой компонент или файл вирус проник на сайт, а также если постараемся, то заделаем брешь на сайте. Если это какой-нибудь известный плагин, то решение проблемы можно поискать в интернете, если же малоивестный или самописный, редактировать и анализировать придется вручную, или же обратиться к профессионалам безопасности.

Проникновение вирусов через POST запросы

Наверное главным недостатком логов будет проблемность обнаружить данные, передаваемые через POST. Многие вирусы стали достаточно хитрыми и маскируются под модули и плагины системы управления сайтом. Как результат, в логах обычные обращение к страницам, будь то главная или внутренние ссылки. В таких случаях необходимо устанавливать на сервер дополнительные модули захвата пост-данных, либо переключать логирование в уровни trace. При этом будьте готовы, что файлы логов станут занимать ну очень много места! При таком анализе и дешифровке кода можно восстановить полную ситуацию взлома на сайте. Однако многие хостинги с неохотой идут на уступки в выдаче необхрдимых логов. Поэтому этот вариант больше подходит для выделенных серверов.

В некоторых случаях бывают полезны не только данные апача, но и обращения по фтп, к базе данных, логирование на сайте или в панеле управления хостингом. В конечном итоге можно определить причину, если время не было утеряно ( а делать это надо оперативно, сразу после взлома).

Поиск уязвимостей аудитом безопасности

А что если мы собираемся обезопасить наш сайт заранее, а не ждать, пока вирусы проникнут на вебсайт.

Тут два пути поиска потенциальных дыр на сайте. Первый из них анализ файлов и кода, а также компонентов и модулей. В первую очередь стоит проверять проверки загрузки файлов на сайт, а также фильтрацию всех входных данных. Это очень трудоемкое занятие, и явно не подходит рядовому пользователю. Тут могут справиться только настоящие асы.

Второй вариант подразумевает отсутствие доступов к сайту, и мы будем пытаться всеми методами взломать сайт. Тут можно воспользоваться сканерами уязвимостей. В итоге если мы обнаружим потенциальное место для взлома, тогда сможем задуматься об устранении дыры в сайте.

Однако даже все эти методы не дают 100% гарантии отсутствия уязвимостей. И чем больше объем функционала сайта, тем больше потенциальных вариантов уязвимостей. Даже программным методом перебор всех уязвимостей может занять от нескольких суток до месяцев.

Поэтому еще при разработке сайта стоит задумываться о его безопасности, чтобы потом не любоваться результатами хакеров.

Источник

Через какую дыру взломали сайт?

Если сайт взломан, мало удалить с него вирус и загруженный PHP Shell. Нужно еще найти причину, по которой произошел взлом, иначе через день-два на сайте снова будет под бодрую музыку развеваться красивый турецкий иностранный флаг. Чаще всего причина — украденный пароль от FTP, устаревшая версия CMS или плагина к ней, но как найти, что именно было использовано для проникновения?

Имея некоторый опыт в этой сфере (в среднем наша техподдержка занимается поиском причины взлома сайта раз в неделю), мы систематизировали накопившуюся информацию.

Итак, зачем вообще взламывают сайты? И что делать, если сайт взломан, как найти причину и защититься от последующих атак?

Зачем взламывают сайты

Алгоритм поиска причины взлома

Как искать следы взлома

Помимо файлов сайта стоит также проверить общий /tmp сервера — в нем могут находиться временные файлы, использованные для взлома или для запуска ботов.

Иными словами, необходимо искать все необычное/непонятное и заглядывать внутрь всех подозрительных файлов. PHP Shell может выглядеть, например, так:

Файлы можно искать и вручную, но быстрее, если взлом произошел недавно, воспользоваться командой find:

Если ничего не помогает, можно просто поискать все файлы, содержащие закодированное в base64 содержимое, например, так:

Определение времени взлома

Когда файлы найдены, определить время взлома очень просто — достаточно посмотреть время изменения самого раннего файла.

Если подозрительных файлов не найдено, но сайт заражен вирусом, посмотрите дату изменения файлов index.php, index.html или тех, в которых обнаружите вирус. Скорее всего в этом случае сайт взломали, украв пароль от FTP.

Поиск журналов взлома сайта

Теперь самое главное — чтобы эти журналы были в наличии!

Если на сайте только произведен дефейс или добавлен вирус ко всем файлам index.html, скорее всего, сайт взломали через кражу пароля FTP (или, гораздо реже, SSH). Посмотрите журналы подключения по FTP и SSH во время взлома — присутствие в нем неизвестных IP-адресов или большого количества разных IP-адресов, осуществивших успешное подключение к сайту, означает, что пароль украден.

В этом случае достаточно проверить компьютеры, с которых осуществлялся доступ к сайту, на вирусы, сменить пароли FTP и никогда больше не сохранять пароли в клиентах FTP.

Если же на сайте присутствуют PHP Shell или вредоносные скрипты (например, для рассылки спама), скорее всего, сайт взломали через уязвимость в CMS или каком-либо её плагине. В этом случае потребуется проанализировать логи веб-сервера.

Если удалось определить IP-адрес

Определив IP-адрес взломщика, мы производим поиск этого IP-адреса по журналу веб-сервера и видим все действия, которые он совершал. Где-то близко к моменту обращения к PHP Shell будет успешное использование уязвимости сайта.

Если определить IP-адрес не удалось

Описанный выше способ работает, если известно конкретное имя файла, через которое производилась работа с сайтом после взлома. Однако это имя не всегда известно. В этом случае придется поискать момент взлома немного подольше, но найти его все равно можно.

Большинству, подавляющему большинству взломов свойственны запросы HTTP POST, так как через них происходит загрузка файлов на взламываемый сайт. Через POST злоумышленник может также пытаться взломать форму ввода пароля или просто зайти в раздел администрирования с украденным паролем.

Если известно время взлома сайта (а мы его уже знаем), необходимо поискать в журнале веб-сервера все запросы POST, находящиеся близко ко времени взлома. Здесь нет конкретных советов — выглядеть они могут совершенно по-разному, но выглядеть они будут в любом случае необычно. Например, это могут быть запросы, содержащие ‘../../../../’ или длинные запросы, содержащие имена файлов или запросы SQL.

Если ничего не удалось найти

Такое тоже может быть. В этом случае можно порекомендовать только чистую переустановку CMS и ее расширений и последующий импорт данных. Обязательно убедитесь, что версия CMS и ее расширений — последняя.

И ее расширений! Чаще всего взломы производятся не через ядро системы управления сайтом, а через какой-нибудь устаревший плагин, автор которого давно забросил его разработку.

Ну и, разумеется, смените все пароли, которые имеют какое-либо отношение к сайту.

Источник

Поиск уязвимостей. Пособие для Чайников.

а я спасибо скажу.
у нас на работе обязали каждый день на сайте тыкать кнопку «я начал работать» и «я закончил работать». это пзц же. вот и мне захотелось написать скрипт который бы эту кнопку нажимал утром и вечером автоматом каждый день.

Закрыта десятилетняя уязвимость в sudo

Специалисты по IT-безопасности компании Qualys опубликовали отчёт об обнаруженной «дыре» в популярной консольной Linux-утилите sudo. Как оказалось, используя баг, которому недавно исполнилось почти десять лет, злоумышленники могут получить root-доступ без прохождения аутентификации в ряде популярных дистрибутивов.

В ходе исследования экспертам удалось запустить сразу три эксплойта с root-правами для выполнения произвольного кода и сброса содержимого стека sudo, а также подстановки нового пользователя с повышенными привилегиями. Другими словами, с помощью уязвимости злоумышленник может получить права администратора в системе и перехватить управление компьютером.

Уязвимость государственных веб-сайтов. Как зайти в администраторскую панель с помощью admin admin?

В декабре 2020 году мною были обнаружены уязвимости на государственных веб-сайтах такие как «Законодательство Российской Федерации» и «Мониторинг государственных веб-сайтов».

На веб-сайте «Законодательство Российской Федерации» было обнаружено, что логин и пароль для авторизации в администраторскую панель присвоен стандартный: admin (логин), admin (пароль). Также на этом веб-сайте была обнаружена отражённая XSS уязвимость.

На веб-сайте «Мониторинг государственных веб-сайтов» была обнаружена хранимая XSS уязвимость, которая позволит злоумышленнику перехватить cookie пользователей (в том числе администраторов, которые имеют функционал администрирования веб-сайтом) и пользоваться аккаунтами в своих личных целях!

Также данные уязвимости существуют и на других государственных веб-сайтах!

Детские смарт-часы и иллюзия безопасности

Вы родитель молодого чада и подумываете о том, что бы купить ему смарт-часы и иметь хоть какой-то контроль над перемещением ребёнка, а так же повысить его безопасность? Но имейте ввиду, что не все устройства выполняют в полной мере функции, возложенные на них. Ниже моя история.

Как отец первокласника, я задумался о том, что бы купить смарт-часы для своего ребёнка. Изучив имеющиеся предложения на рынке, я купил часы Fixitime 3 от российской компании Elari. Ещё бы, их же даже Wylsacom рекомендовал рекламировал.

Вроде бы недешевый гаджет и безопасность данных должна быть на уровне, тем более, когда идёт речь о безопасности детей. Но так как имею некоторые представления о программировании и безопасности мобильных приложений, я полез смотреть трафик последнего. И вот незадача, буквально пол часа спустя я в плане эксперимента смог добавить устройства других детей в своё приложение.

Как видно на скриншоте сверху, один ребёнок мой, остальные добавлены произвольным образом.

Теперь, будь я злоумышленником, я бы смог без проблем следить за любым ребёнком, который использует часы этого производителя, а на самом деле любые часы, произведённые китайской компанией Wherecom под разными брендами. О последствиях даже думать не хочется. Для меня стал вопрос, либо возвращать часы продавцу либо пытаться что-то исправить. Я выбрал второй вариант.

Поэтому я написал письма вендеру, китайским разработчикам, в общем тем, кто причастен к созданию и распространению этого чудо-гаджета. Было это не просто, так как на мои сообщения ни кто не хотел отвечать. Так как я живу в Украине, я написал в украинское и в российское представительства Elari, а так же китайским разработчикам сервиса, на сервере которых часы хранят всю информацию. Да, вы правильно поняли, личные данные пользователей отправляются на китайский сервер и что хуже всего, вендор не имеет ни какого контроля над этими данными. Это и не удивительно, ведь в мобильном приложении нет ни какого лицензионного соглашения, а соответственно не прописано, куда передаются ваши личные данные и кто за это будет отвечать. Поэтому, выбирая часы, обращайте на это внимание.

Дело движется, но вяло, китайские разработчики неспеша закрывают бреши в безопасности, на которые я им указал, но главная уязвимость всё ещё не закрыта. Вы спросите, а что же Elari? Российское представительство спустя 4 недели мне так и не ответило, а украинскому только и остаётся, что транслировать ответы российского вендора, которые им в свою очередь строчат китайские разработчики.

Деталей уязвимости я по понятным причинам не выкладываю, жду, пока их все не закроют.

Для себя я условно решил дождаться 1-го сентября. Если к тому моменту проблема не решится, буду возвращать часы с фомулировкой, что они не выполняют возложенных на них функций.

Источник

Дыры в сайтах: что это и как избавиться?

Любой веб-ресурс – это программный код, строки которого прописаны в определённом порядке. Если смотреть на сайт, как самостоятельно действующий организм, он будет состоять из десятков подсистем. И каждая из них в своё время может дать сбой, что и приводит к появлению так называемых дыр. Это уязвимости, точки входа, которые злоумышленник может использовать для контроля над отдельными функциями или функционированием ресурса в целом.

Стоит отметить, что даже самые надёжные сайты, созданные мастеровитыми программистами за десятки тысяч долларов, могут иметь дыры. Предусмотреть их все и устранить полностью практически невозможно, так как инструментарий хакеров развивается с каждым годом, и различные системы защиты взламываются с его помощью крайне быстро. Однако при определённой подготовке риск успешных хакерских атак можно значительно снизить, если вовремя совершить правильные действия. И первое важное правило – доверить разработку веб-сайтов проверенным специалистам.

Виды уязвимостей и дыр в сайтах: от невнимательности к сложным вычислениям

Чтобы понять, как бороться со слабыми зонами вашего сетевого ресурса, необходимо сначала узнать «врага» в лицо. К сожалению, в последнее время этих врагов развелось очень большое количество. Правда, некоторых можно устранить достаточно быстро, а с некоторыми и вовсе не столкнуться, если ответственно отнестись к созданию сайта. Итак, пройдёмся от самых простых до крайне сложных уязвимостей:

Предсказуемый адрес раздела каталога, например, администрирования. Более чем в 70% случаев в Сети, чтобы попасть на страницу входа в админ-панель, достаточно к адресу добавить приписку /admin, и перед хакером откроется безграничный мир новых возможностей. Всегда следите за названием разделов и меняйте их на сложные, которые будут известны только вам.

Простые пароли и логины для входа в панель администрирования. Проблема, вытекающая из первой. А если они обе затесались на ваш сайт, взломать его не составит труда даже для начинающего кибер-преступника. Так что не ленитесь и включайте смекалку при создании пароля. Либо воспользуйтесь одним из десятков бесплатных генераторов.

Уязвимость формы ввода информации. Pop Up, формы лидогенерации и прочие поля, в которых пользователь может вводить свою информацию, являются одной из самых частых точек входа в систему со стороны. Помимо имени, контактного телефона, пароля и логина, хакер может через данный блок вводить команды, адресуемые, непосредственно, серверу. XSS, SQL-инъекции, запуск сторонних скриптов JavaScript и много других козней доступны недобросовестным юзерам, если грамотно не ограничить доступ интерактивных полей к корневым данных на серверах.

Увеличенное время таймаута между сессиями. Правильно настроенный бот сайта при бездействии юзера на протяжении некоторого времени останавливает сессию, после чего необходимо повторно проходить процедуру авторизации. Однако если этот промежуток времени большой, у хакера будет возможность воспользоваться и перехватить данные, после чего активно хозяйничать на ресурсе под чужим именем.

Большое количество входов подряд. Всё тот же сайт-бот, отвечающий за безопасность, при нормальном функционировании будет банить пользователей, которые десятки раз в минуту обращаются к сайту. Если таковой опции нет, автоматизированная программа уже со стороны преступника сможет беспрепятственно и сколько угодно времени подбирать правильные пароли к учётным записям.

Content Spoofing или подмена данных. Когда доступ к сайту взломан, хакер может заменять информацию, предоставляемую сервером. Например, давать юзеру фейковые поля с подтверждением логина, CVV-кода от кредитной карты и прочими персональными данными, чтобы в дальнейшем использовать её для личных целей.

Buffer Overflow или переполнение буфера. Буфер обмена имеет свой чёткий размер. Если в минуту выполняется большое количество обращений сайта к серверу, есть риск его переполнения, в результате чего преступник может изменить путь выполнения команд и запуска отдельных приложений. Избежать подобной неприятности можно, если грамотно настроить тайминги и регулярно отслеживать рабочие процессы.

Как перестраховаться от уязвимостей?

Техническая поддержка сайта – самое правильное решение при наличии собственного веб-ресурса. Это может быть как штатный специалист, так и фирма на аутсорсе. А ещё перед запуском сайта в эксплуатацию можно воспользоваться различными утилитами и программами автоматического поиска, которые после детального сканирования выдадут вам все существующие проблемные зоны и, возможно, рекомендации по их устранению. Но не забывайте, что хакеры совершенствуются вместе с теми, кто придумывает такие приложения.

Источник