Nočete, da nezaželen obiskovalec potuje po datotečnem sistemu vašega strežnika, vendar so napadalci našli način, kako to izpeljati. Kaj lahko narediš?
Ko uporabniki obiščejo vaše spletno mesto, verjamejo, da so njihovi podatki varni in da oni in drugi uporabniki ne morejo dostopati do datotek ali map, za katere nimajo pooblastil. Če pa je vaše spletno mesto ranljivo za prečkanje imenika, lahko napadalci izkoristijo to slabost, da se premaknejo iz enega imenika v drugega in si ogledajo občutljive datoteke, ki jih je treba omejiti.
Ti napadi izkoriščajo ranljivost v datotečnem sistemu vašega spletnega mesta in lahko razkrijejo kritične informacije, kar povzroči resna varnostna tveganja. V tem članku bomo raziskali, kaj so napadi prečkanja imenika, zakaj so tako nevarni in kako lahko zaščitite svoje spletno mesto pred njimi.
Kaj je prehod po imeniku?
Prehod po imeniku je znan tudi kot prehod po poti ali plezanje po imeniku. Gre za ranljivost na spletnih mestih, kjer lahko napadalec dostopa ali bere datoteke zunaj korenskega imenika spletnega strežnika, v katerem se izvaja aplikacija, tako da manipulira z vnosom spletne aplikacije.
Ko se izvede napad s prehodom imenika, lahko napadalci berejo in včasih celo spreminjajo omejene datoteke in imenike na strežniku spletnih aplikacij. Morda lahko dostopajo do zaupnih datotek na strežniku, kot so konfiguracijske datoteke baze podatkov, datoteke z izvorno kodo, datoteke z gesli in datoteke dnevnika.
Directory Traversal in CIA Triad
Prehod imenika ogrozi vse tri vidike kar je znano kot CIA triada. Triada CIA, ki je splošno priznan model informacijske varnosti, pomeni zaupnost, celovitost in razpoložljivost.
Zaupnost
Napadi prečkanja imenika kršijo zaupnost, ker napadalcu postanejo dostopne omejene in občutljive datoteke, ki vsebujejo informacije o sistemu in drugih uporabnikih. Vsi podatki, ki niso last uporabnika, naj bodo tajni in ne smejo biti dostopni nepooblaščenim osebam. Napadalec na primer pridobi dostop do zbirke podatkov uporabnikov in njihovih osebnih identifikacijskih podatkov (PII), krši zaupnost sistema in uporabnikovih podatkov.
Integriteta
Pomembno je omeniti, da se prečkanje imenika morda ne bo ustavilo samo tako, da bodo kibernetski napadalci lahko brali in dostopali do datotek na vašem spletnem strežniku. Če dovoljenja datotečnega sistema na vašem strežniku niso pravilno konfigurirana, jih bo heker morda lahko spremenil ali izbrišite pomembne datoteke ali imenike na strežniku, kar ogrozi celovitost podatkov na tem strežnik. Napadalec lahko na primer spremeni konfiguracijsko datoteko in si omogoči skrbniški dostop do strežnika ali izbriše sistemske datoteke.
Razpoložljivost
Obstaja veliko načinov, kako lahko napadalec uporabi napad prečkanja imenika, da ogrozi razpoložljivost vašega strežnika. En primer je brisanje kritičnih datotek na strežniku, ki moti delovanje strežnika ali povzroči neodzivnost spletne aplikacije. Drug primer je, da napadalec poveča privilegije in preobremeni strežnik z zahtevami, zaradi česar se zruši.
Kako deluje napad na prečkanje imenika?
Napad prečkanja imenika se lahko pojavi na različne načine. Ko napadalci sumijo, da je spletno mesto ranljivo za napade prečkanja imenika, začnejo oblikovati zlonamerne zahteve za pošiljanje tej spletni aplikaciji.
Nekatera spletna mesta prikazujejo datoteke prek parametra URL. Vzemimo za primer URL te spletne strani: https://www.website.com/download_file.php? ime datoteke=datoteka.pdf. To pomeni, da spletna aplikacija kliče datoteko "file.pdf" iz strežnika z uporabo relativne poti URL. V tem primeru aplikacija bere s poti: www/var/documents/file.pdf.
Preprost primer napada prečkanja imenika je napad prečkanja imenika dottotslash. V sistemih UNIX in Windows je ../ simboli se uporabljajo za vrnitev za en imenik nazaj. Napadalec lahko zamenja ime dokumenta z ../../../../../etc/passwd. URL je potem videti takole: https://www.website.com/download_file.php? ime datoteke=../../../../../etc/passwd
Napadalec bi lahko uporabil to obremenitev v spletni aplikaciji za prečkanje več imenikov nazaj, da bi poskusil pridobiti datoteko "/etc/passwd" iz datotečnega sistema strežnika.
V sistemih, ki temeljijo na Unixu, je datoteka "/etc/passwd" datoteka z navadnim besedilom, ki vsebuje informacije o lokalne uporabniške račune v sistemu, kot so uporabniška imena, uporabniški ID-ji, domači imeniki in lupina nastavitve. Dostop do te datoteke je lahko koristen za napadalce, saj lahko zagotovi informacije o potencialnih uporabniških računih in ranljivostih v sistemu.
Druge oblike napadov na prečkanje imenika vključujejo kodiranje URL-jev, dvojno kodiranje in napade z ničelnimi bajti.
Zakaj so napadi na prečkanje imenika tako nevarni?
Napadi prečkanja imenika veljajo za zelo nevarne, ker skoraj nikoli niso samostojni napadi. Izkoriščanje ranljivosti prečkanja imenika lahko povzroči več drugih ranljivosti. Nekatere od teh ranljivosti vključujejo:
Razkritje informacij
Do razkritja informacij pride, ko napadalec pridobi dostop do občutljivih informacij, za vpogled v katere nima pooblastil. Napadi prečkanja imenika lahko privedejo do ranljivosti pri razkritju informacij, ker napadalcem omogočajo dostop do datotek in imenikov zunaj predvidenega obsega spletne aplikacije. Z uporabo obremenitev prečkanja imenikov in zlonamernih zahtev se lahko napadalci povzpnejo po hierarhiji imenikov in potencialno dostopajo do občutljivih datotek in imenikov na strežniku. To ranljivost je mogoče izkoristiti za pridobivanje občutljivih informacij, kot so gesla ali uporabniški podatki.
Vključitev lokalne datoteke
Prehod imenika lahko tudi vodi do napadov lokalnega vključevanja datotek (LFI).. LFI je ranljivost v spletnih aplikacijah, ki napadalcu omogoča vključitev in izvajanje datotek, ki so shranjene na istem strežniku kot spletna aplikacija v LFI napada, lahko napadalec uporabi vhodne parametre spletne aplikacije, da določi lokalno pot do datoteke, ki jo nato vključi spletna aplikacija brez ustreznega validacija. To napadalcu omogoča, da izvede poljubno kodo, si ogleda občutljive informacije ali manipulira z vedenjem aplikacije.
Kako lahko preprečite napad na prečkanje imenika?
Za začetek preverite uporabniški vnos, preden ga obdelate, da zagotovite, da vsebuje le pričakovane znake in ne vsebuje posebnih znakov ali ločil poti. Drugo priporočilo je uporaba filtrov in dovoljenih vrednosti na beli listi za primerjavo uporabniških vnosov in blokiranje sumljivih vrednosti. Toda vse te metode bi lahko zaobšel izkušen heker.
Najboljši pristop k preprečevanju napadov prečkanja imenika je, da se uporabnikom v celoti izognemo vnosu podatkov v datotečni sistem.
Za svojo varnost pristopite proaktivno
V kibernetskem ekosistemu je veliko ranljivosti. Če želite zaščititi svoja sredstva pred ranljivostmi, morate izvajati redne varnostne ocene in penetracijsko testiranje za prepoznavanje potencialnih slabosti in njihovo odpravo, preden jih lahko izkoristijo napadalci.
Poleg tega bodite na tekočem z najnovejšimi varnostnimi popravki in posodobitvami za vašo programsko opremo in sisteme, saj je s temi posodobitvami mogoče popraviti številne ranljivosti. S proaktivnim pristopom k kibernetski varnosti lahko pomagate zagotoviti, da so sredstva vaše organizacije zaščitena pred ranljivostmi in ostanejo varna pred kibernetskimi grožnjami.