На главную | Содержание | Назад | Вперёд
Наши друзья

 

 

Защита от использования ошибки Translate


Бюллетень ;
MS00-058

BID
1578

Неправленое SP
1

Фиксируется
Нет

Как всегда, чтобы максимально снизить риск от использования уязвимых мест, позволяющих получить исходный код важных файлов, подобных ошибке Translate: f, нужно помнить, что пользователи Internet могут увидеть любой файл, исполняемый на сервере I1S, и не хранить в таких программах секретную информацию.
Поскольку данная ошибка возникает не в связи с запросом файла определенного типа, простое отключение связи с приложением здесь не поможет. Можно удалить библиотеку httpext.dll, но неизвестно, как это повлияет на работу ядра IIS 5. Конечно, этот способ точно не подходит, если на сервере используется служба WebDAV.
Можно получить заплату для данного уязвимого места из бюллетеня безопасности Microsoft MSOO-058 (http://www.microsoft.com/technet/security/bulletin/MSOO-058.asp). Эта заплата входит в выпуск Windows Server 20ОЗ Service Pack I, так что если на системе установлен пакет SP 1, то все а порядке.
Уязвимое место в WSDL и технологии DISCO
Популярность
5

Простота

10

Опасность

3

Степень риска
6

Язык WSDL (Web Services Description Language — язык описания Web-служб) является центральным в концепции Web-служб компании Microsoft. Одновременно это и механизм, с помощью которого служба предоставляет информацию о своих возможностях и интерфейсах. Язык WSDL реализуется посредством одной или нескольких страниц, доступных на сервере, на котором запущены Web-службы (как правило, это файлы с расширениями .wsdl и ,xsd), В спецификации W3C язык WSDL описывается как "грамматика XML для описания сетевых служб как наборов возможностей взаимодействия конечных точек для обмена сообщениями". По существу, это означает, что WSDL-документ описывает, какие функции предоставляет Web-служба и как получить к ним доступ ('установить привязку").
В книге Секреты хакеров. Безопасность Web-приложений — готовые решения, есть отдельная глава, посвященная атакам на Web-службы и мерам противодействия этим атакам.
--,
логе, который позволяет клиентам быстро находить и легко получать доступ к различным Web-службам. Например, производитель автомобилей может без труда обнаружить поставщиков ком-
плезстующих в заданном неновом диапазоне. Например, UDDI (Universal Description, Discovery, and Integration) обеспечивает создание реестров организаций и служб, которые являются интегральными компонентами сервис-ориентированной архитектуры любой информационной среды. UDDJ предоставляет поставщикам возможность сохранять описания своих Web-служб, а потребителям находить требуемые службы. Аналогом UDDI от компании Microsoft является служба DISCO (Discovery of Web Services). Чтобы предоставить клиентам доступ к Web-службе с помощью DISCO, достаточно создать файл с расширением . disco и сохранить его в виртуальном корневом каталоге Web-службы вместе с другими файлами для службы (например файлами с расширениями .asmx, .wsdl, .xsdnnp).
Web-службы Microsoft (файлы с расширением .asmx) могут выдавать информацию DISCO и/или WSDL. Для этого хакеру достаточно добавить специальные аргументы к запросу службы. Следующий адрес URL позволит подключиться к Web-службе и предоставить удобный для восприятия интерфейс службы http:www.victim.com/service.asmx. Для отображения информации DISCO или WSDL необходимо добавить строку ?disco или ?wsdl, как показано ниже. http:www.victini.com/service.asmx7disco ИЛИ
http:www.victim.com/service.asmx?wsdl
На 10 представлен результат подобной атаки на Web-службу. Предоставленные данные в этом случае не представляют особой ценности (чего и можно было ожидать от службы, которая предоставляет информацию о себе), но присутствуют и потенциально опасные сведения, аутенти-фикационная информация SQL Server, полные имена важных файлов и каталогов и другая полезная информация, которую программисты зачастую размещают в своих конфигурационных файлах. WSDL-информация гораздо обширнее — ведь здесь перечисляются все доступные службы и типы данных. Чего еще желать хакеру перед началом проведения атаки?
<?xml versions" 1.0* ancnding^'utf-B' ?>
<discoverv xrrilns:xsd="http://wHvv.H3.org/20Dl/XMLSchema' xrrrfns:::si=-lntp://www.43.org/ZDDl/XMLSchema-lnsiaiice" ив I ns="http: //sch e m a s. к mis о a p. □ rg/dfs CO/" >
sinnlractCef ref="http://www.lhuvspvstore.com/InstaiitOnler.asmxTV<sdr d г с f;c f*='ht?p: / /w ww .to ii у s p у s t о re .со m/1 n stant Orde r .as ira" >m]riS="h«p://sdi8mas.xmlsoap.Qrg/fl4ico/sc!/" /> <saap address='http ;//nvtw .ibuyspystare.com/tnstantOrder.asmx1 >mirs'ql=-Ошибка! Недопустимый объект гиперссылки. bin ding='ql:In stant Orde rSoop" Kmlr*=uhttp://schemes. urn Isoap .org /dis co/socp/" /> </dibcovery>
Puc. 10.10. Добавление строки ?disco к запросу .asiax-файяа позволяет подучить содержимое самого файла службы DISCO
Кроме того, мы должны заметить, что нам удалось получить настоящие имена DISCO-файлов открыв HTML-код Web-службы или связанной с ней страницы. Подсказки по расположению DISCO-файлов могут быть реачизованы в виде HTML-кода, они доступны благодаря любому из средств просмотра исходного кода Web-страницы.

Защита исходного кода служб DISCO и WSDL
Предположим, что требуется предоставить определенный объем информации о Web-службе. Чтобы при этом раскрытие исходного кода файлов DISCO и WSDL не превратилось в серьезную проблему, не следует сохранять секретных данных в формате XML. Не повредит и дополнительная аутентификация пользователей для доступа к каталогу, в котором хранятся файлы Web-служб. Единственный способ гарантировать недоступность информации службы DISCO или WSDL для хакеров заключается в отказе от создания для службы файлов с расширениями .wsdl, .discomap, .discoH . xsd. Если эти файлы доступны, то они должны предоставляться удаленным клиентам!
Средства оценки безопасности Web-сервера
Как мы уже продемонстрировали, можно использовать достаточно простые средства наподобие netcat для проведения многих атак по сети. Программа netcat — это прекрасное средство для проведения анализа двоичных HTTP-данных.
Довольно сложно писать программы атаки самостоятельно. Нет ничего удивительного в том, сколько современных средств сканирования доступны для всех желающих (некоторые их них мы уже рассмотрели в этой книге)', whisker, Nikto, Stealth HTTP Scanner, Weblnspect от SPI Dynamics, AppScan от Sanctum и ScanDo от Kavado.
Существует и стандартный набор средств, которые абсолютно необходимы для проведе-
тура и ссыпки" в конце этой главы. Многие из них подробно рассмотрены в книге Секреты хакеров. Безопасность Web-приложений — готовые решения (Джоел Скембрей, Майк Шема, Йен-Минг Чен, Дэвид Боне. Вильяме, 2003).
В следующем разделе описано одно из этих средств безопасности, поскольку оно бесплатно предоставляется Microsoft и позволяет блокировать многие из рассмотренных типов атак.

 

На главную | Содержание | Назад | Вперёд
 
Яндекс.Метрика