http://www.microfinance.uz Бухгалтерский и налоговый учёт Thu, 26 Jan 2012 14:59:26 +0000 en hourly 1 http://wordpress.org/?v=3.1.2 http://www.microfinance.uz/ataki-na-servery-cgi-i-http/ http://www.microfinance.uz/ataki-na-servery-cgi-i-http/#comments Mon, 06 Oct 2008 07:17:14 +0000 admin http://www.microfinance.uz/ataki-na-servery-cgi-i-http/ Не вдаваясь в подробности функционирования механизма CGI (Common Gateway Interface — Интерфейс Единого Шлюза), скажем, что это набор программ (исполняемых скриптов, интерпретаторов и т. п.), выполняемый на сервере по запросу клиента. Он предназначен обеспечивать динамическое (то  есть  более  гибкое)   взаимодействие  между  удаленным  клиентомбраузером и Веб-сервером посредством запуска на серверной стороне приложений, выполняющих задания клиента.
Как и любым другим программам, данному механизму присущ ряд возможных уязвимостей, которые усиливаются тем, что он обслуживает клиентов (пользователей), о которых предварительно ничего не известно, т. е. возможны и потенциальные злоумышленники.
Основные проблемы, связанные с работой CGI, сводятся к тому, что:
□ разработчиком допущены ошибки при написании кода;
□ в коде оставлены преднамеренные люки;
□ злоумышленник получил возможность (права) модифицировать код либо данные, используемые кодом на сервере;
□ злоумышленник получил доступ к интерпретатору с правом исполнения команд.
Наиболее часто встречаются уязвимости, относящиеся к ошибкам на этапе разработки, причем в значительной степени это касается необходимости проверок данных, которые поступают от клиента на обработку программой. Этому вопросу был посвящен отдельный бюллетень CERT — CERT Advisory СА-1997-25 Sanitizing User-Supplied Data in CGI Scripts. В качестве примера возможности реализации атаки приведем CERT Advisory СА-1997-24 Buffer Overrun Vulnerability in Count.cgi cgi-bin Program. В документе говорится о программе count.cgi, которая ведет подсчет посещений Веб-вервера. По причине недостаточной проверки данных, вводимых клиентом, возможно произвести переполнение стека. В результате Count.cgi исполнит команды злоумышленника, наделив их при этом правами доступа, равными правам доступа сервиса httpd в данной системе.
В целом, специальным образом подобранные некорректные (в смысле скорее “неожидаемые разработчиком”) наборы данных представляют собой угрозу, характерную не только для CGI. Известны случаи, когда использование специальных символов (“/”, “.” и ряда других) в URL при обращении к Веб-серверу приводило к совсем иным последствиям, чем это предполагалось разработчиками и администраторами Веб-сервера — от отказа в обслуживании до возможности исполнения зловредного кода с высокими привилегиями. Не будем приводить весь список подобных атак — он довольно однообразен (сформированный особым образом URL — в ответ недокументированная реакция сервера). Остановим внимание специалистов на том вопросе, что, обеспечивая защиту своих Веб-серверов, например, с помощью межсетевых экранов, необходимо уделять внимание не только правильной адресации и обращению к службам, но и тому, какие данные получает конкретное приложение. Другими словами, строя защиту, необходимо в анализе угроз подниматься от сетевого и транспортного уровня сетевой модели — вверх до прикладного.

]]> http://www.microfinance.uz/ataki-na-servery-cgi-i-http/feed/ 0