İçindekiler:
Video: En Çok İzlenen Tiktok Videoları 2024
Bu vaka çalışmasında, tanınmış bir uygulama güvenlik uzmanı olan Caleb Sima, müşterinin web uygulamaları. Bir güvenlik riski keşfetmeye ilişkin bu örnek, özel bilgilerinizi korumaya yardımcı olacak iyi bir uyarıcı masaldır.
Durum
Bay. Sima, tanınmış bir finansal web sitesinin güvenliğini değerlendirmek için bir web uygulaması penetrasyon testi gerçekleştirmek üzere işe alındı. Ana mali sitenin URL'sinden başka bir şeyle donatılmamış olan Sima, kuruluş için var olan diğer siteleri bulmak için yola çıktı ve olasılıklar aramak için Google'ı kullanmaya başladı.
Mr. Sima başlangıçta düşük asılı meyveleri keşfetmek için ana sunuculara karşı otomatik tarama gerçekleştirdi. Bu tarama, web sunucusu sürümü ve bazı diğer temel bilgiler hakkında daha fazla araştırma yapılmadan yararlı olduğu kanıtlanmış hiçbir bilgiyi sağlamadı. Bay Sima taramayı gerçekleştirirken, ne ID'lerin ne de güvenlik duvarı onun faaliyetlerinden herhangi birini fark ettiler.
Sonra, Bay Sima ilk web sayfasında sunucuya bazı ilginç bilgiler döndüren bir istekte bulundu. Web uygulaması birçok parametre kabul ediyordu, ancak Sayın Sima siteye göz atmaya devam ederken URL'deki parametrelerin aynı kaldığını fark etti.
Mr. Sima, sorgulanırken sunucunun hangi bilgileri döndüreceğini görmek için URL içindeki tüm parametreleri silmeye karar verdi. Sunucu, uygulama ortamı türünü açıklayan bir hata iletisi ile yanıt verdi.
Sonra, Bay Sima, uygulama hakkında ayrıntılı bir dokümantasyonla sonuçlanan bir Google araması gerçekleştirdi. Bay Sima, bu bilgide uygulamanın nasıl çalıştığını ve varsayılan dosyaların neler olduğunu gösterecek çeşitli makaleler ve teknoloji notları buldu. Aslında, sunucu bu varsayılan dosyalardan birkaçına sahipti.
Mr. Sima, bu bilgiyi, başvuruyu daha ileri araştırmak için kullandı. Dahili IP adreslerini ve uygulamanın hangi hizmetleri sunduğunu hızla keşfetti. Bay Sima, yöneticinin hangi sürümü çalıştığını tam olarak bildiği anda, bulabileceği başka şeyleri görmek istedi.
Mr. Sima, özel komut dosyasını kontrol etmek için deyimde & karakterleri ekleyerek URL'den uygulamayı değiştirmeye devam etti. Bu teknik, tüm kaynak kodu dosyalarını yakalamasına izin verdi. Bay Sima VerifyLogin de dahil olmak üzere bazı ilginç dosya adları kaydetti. htm, ApplicationDetail. htm, CreditReport. htm ve ChangePassword. htm.
Sonra Bay Sima, sunucuya özel olarak biçimlendirilmiş bir URL göndererek her dosyaya bağlanmayı denedi.Sunucu, her istek için Kullanıcıya oturum açılmamış bir mesaj döndürdü ve bağlantıların intranetten yapılması gerektiğini belirtti.
Sonuç
Bay. Sima, dosyaların nerede olduğunu biliyordu ve bağlantıyı kokladı ve ApplicationDetail'i belirleyebildi. htm dosyası bir çerez dizesi ayarlayın. URL'nin küçük bir manipülasyonuyla, Bay Sima ikramiyeyi vurdu. Bu dosya, yeni bir müşteri uygulaması işlendiğinde istemci bilgilerini ve kredi kartlarını döndürdü. Kredi raporu. Bay Sima, müşteri kredi rapor durumunu, sahtekarlık bilgilerini, başvuru durumunun reddedildiğini ve diğer hassas bilgileri görmesini sağlamıştır.
Ders: Hackerlar web uygulamaları üzerinde birçok farklı bilgiyi kullanabilir. Bu vaka çalışmasındaki bireysel istismarlar azdı, ancak kombine edildiğinde ciddi zayıflıklara neden oldular.
Caleb Sima, Internet Security Systems'deki X-Force ekibinin charter üyesiydi ve penetrasyon test ekibinin ilk üyesiydi. Sima, daha sonra HP tarafından satın alınan SPI Dynamics'leri kurmak ve CTO'yu kurmakla birlikte SPI Labs'ın SPI Labs uygulama güvenlik araştırma ve geliştirme grubunun yöneticisi oldu.
![Excel Gösterge tablolarına ve Raporlara Kontrol Ekleme Excel Geçiş Kontrol Panelleri ve Raporlarına - Mecburi <[SET:descriptiontr]Denetleyici nasıl eklenir giderek iş uzmanları giderek daha fazla bilgi için](https://i.howtospotfake.org/img/software-2018/how-to-add-control-to-excel-dashboards-and-reports.jpg "Excel Gösterge tablolarına ve Raporlara Kontrol Ekleme Excel Geçiş Kontrol Panelleri ve Raporlarına - Mecburi <[SET:descriptiontr]Denetleyici nasıl eklenir giderek iş uzmanları giderek daha fazla bilgi için")
