Системы обнаружения атак на сетевом уровне



         

Какими являются некоторые наиболее распространенные варианты использования?


1.8.1 CGI-скрипты

CGI-программы являются незащищенными "по умолчанию". Типичные уязвимости включают прохождение зараженных данных непосредственно к командной оболочке, использование скрытых уязвимостей, конкретизирующих любое имя файла в системе, или, иначе, открывающих гораздо больше информации о системе, чем надо. Наиболее хорошо известная ошибка CGI - это 'phf'-библиотека, поставляемая вместе с NCSA httpd. 'Рhf'-библиотека может быть использована для получения любого файла с Web-сервера. Другие хорошо-известные CGI-скрипты, которые нарушитель возможно попытается использовать: TextCounter, GuestBook, EWS, info2www, Count.cgi, webdist,cgi, php.cgi, files.pl, nph-test-cgi, nph-publish, AnyForm, FormMail. Если вы видите, что кто-то пытается получить доступ к одному или всем из этих CGI-скриптов (и вы не используете их), то это ясно указывает на попытку вторжения.

1.8.2 Атаки на Web-сервер

Помимо выполнения CGI-программ, Web-сервера имеют другие возможные дыры. Большое количество Web-серверов (включая IIS 1.0 и NetWare 2.x) имеют "дыру", из-за которой название файла может включать ряд последовательностей "../" в названии пути для перемещения еще куда-либо в файловой системе и получения любого файла. Другая широко распространенная ошибка - это переполнение буфера в поле запроса или в одном из остальных HTTP-полей.

1.8.3 Атаки на Web-броузер

По-видимому, Web-броузеры компаний Microsoft и Netscape имеют уязвимости (хотя, конечно, в самых свежих версиях, насколько нам известно в данный момент, пока еще они не найдены. Что не отрицает их наличия - примечание переводчика). К таким атакам можно отнести URL-, HTTP-, HTML-, фрейм-, JavaScript-, Java- и ActiveX-атаки.

URL-поля могут стать причиной переполнения буфера, в процессе обработки в заголовке HTTP или выполнении в некоторой форме. Также старые версии Internet Explorer содержали ошибку, позволяющую выполнять файлы с расширением .LNK или .URL.

HTTP-заголовки могут использоваться для реализации атак путем передачи информации полям, которые не предназначены для приема этой информации.




Содержание  Назад  Вперед