- Викрадення cookie з використанням Achilles
- Заходи протидії вилучення інформації з файлів cookie, які виконуються на стороні клієнта
- Заходи протидії, що виконуються на стороні сервера
Не секрет, що протокол HTTP не має коштів, що дозволяють розрізняти сеанси користувачів. Для усунення цього недоліку був розроблений механізм, описаний в стандарті RFC 2109, який називається cookie. Файли cookie є спеціальні контейнери, в яких міститься інформація, що включається в HTTP-заголовки і дозволяє сервера використовувати для кожного відвідувача особисту конфігурацію (яка часто буває визначена в файлах cookie). Файли cookie можуть бути двох видів:
- Перший вид файлів - це використовувані тільки протягом поточного сеансу, які видаляються відразу ж після закінчення сеансу або ж після закінчення певного часу, званого часом життя.
- Другий вид - файли (що представляють собою звичайні текстові файли), які залишаються назавжди на жорсткому диску користувача, зазвичай розташовуються в каталозі Cookies (в сучасних ОС осідання файлів cookie відбувається в директорія web-браузерів, тобто чим їх більше, тим більше місць для їх скупчення, в будь-якому випадку їх видалення я часто використовую CCleaner). Нескладно зрозуміти, що хакери, які отримали доступ до файлів cookie користувача, можуть використовувати такі файли для ідентифікації у відповідній системі під виглядом цього користувача або витягти з них важливу інформацію.
Викрадення cookie з використанням Achilles
Найпростішим способом отримання чужих файлів cookie є їх перехоплення. Згодом ці файли можна використовувати для підробки при ідентифікації на відповідному сервері. Звичайно ж, якщо у зломщика є можливість доступу до жорсткого диска машини, то викрадення файлів cookie стає необов'язковим, так як в цьому випадку можна виконати практично будь-які дії з машиною жертви.
Не слід при спробах злому нехтувати викраденням файлів cookie - у великих корпоративних мережах потік даних, що пересилаються клі ентамі в Internet, дає для цього великі можливості!
Як на мене, є певний інтерес в розгляді утиліти Achilles, призначену для здійснення зломів з використанням файлів cookie. Програма Achilles є проксі-сервером і дозволяє перехоплювати дані, що пересилаються між клієнтом і сервером, а також редагувати їх. Для початку роботи з цією програмою необхідно запустити її, а потім вказати Web-браузеру використовувати цю програму в якості проксі-сервера. В результаті всі з'єднання між клієнтом і Internet будуть здійснюватися через Achilles. Налаштування використання проксі-сервера популярних web-браузерів (вказати проксі - localhost, порт - 5000):
- Internet Explorer: Сервіс => Властивості оглядача => Підключення => Налаштування параметрів локальної мережі => Проксі-сервер;
- Firefox: => Інструменти => Налаштування => Мережа => З'єднання (Налаштувати ...) => Ручна настройка сервісу проксі;
- Opera: Меню => Налаштування => Загальні налаштування (Ctrl + F12) => Мережа (Проксі-сервери ...) => HTTP (поставити "пташку");
- Chrome: Кнопка "Налагодження та управління Google Chrome" => Параметри (з'явиться в окремій вкладці) => Розширені => Мережа (Змінити налаштування проксі-сервера ...).
Після того, як це зроблено, можна запустити Achilles і, клацнувши на кнопці з піктограмою початку відтворення (нагадує кнопку Play побутової техніки), приступити до роботи. Тепер при відвідуванні будь-якого Web-вузла всі дані, які Web-браузер відсилає Web-сервера, будуть відображатися у вікні програми Achilles, як показано на рис. 12.7. При натисканні кнопки Send запит браузера відсилається сервера. Цей процес можна продовжити, приймаючи відповіді сервера і відсилаючи нові запити на сервер і т.д.
На зображенні видно, що в cookie присутній рядок wordpress_logged_in_263d663a02379b7624b1028a58464038 = admin. Це значення знаходиться в незашифрованому вигляді у файлі cookie і його легко перехопити за допомогою утиліти Achilles, але як правило в більшості випадків в Achilles можна побачити лише хеш того або іншого запису. Перед відсиланням запиту на сервер можна спробувати замінити цей рядок на будь-яку подібну (хоча в даному випадку сенсу немає) - кількість спроб не обмежена. Потім, відіславши цей запит на сервер за допомогою кнопки Send, можна отримати відповідь від сервера, який призначається адміністратору.
Це означає, що у хакера з'являється можливість працювати з додатку ням з привілеями адміністратора, що може спричинити до дуже плачевних результатів.
У попередньому прикладі можна використовувати пряму підміну ідентифікатора користувача. Крім того, назва параметра, підміна значення якого надає додаткові можливості хакеру, може бути наступним: user (наприклад, USER = JDOE), будь-який вираз з рядком ID (наприклад, USER = JDOE або SESSIONID = BLAHBLAH), admin (наприклад, ADMIN = TRUE), session (наприклад, SESSION = ACTIVE), cart (наприклад, CART = FULL), а також такі вирази, як TRUE, FALSE, ACTIVE, INACTIVE. Зазвичай формат файлів cookie дуже залежить від програми, для потреб якого вони використовуються. Однак наведені поради з пошуку вад додатків за допомогою файлів cookie годяться практично для всіх форматів.
Заходи протидії вилучення інформації з файлів cookie, які виконуються на стороні клієнта
У загальному випадку користувач повинен обережно ставитися до Web-вузлів, що використовують файли cookie для аутентифікації і зберігання важливих даних. Також необхідно пам'ятати, що Web-вузол, який використовує для аутентифікації файли cookie, повинен підтримувати хоча б протокол SSL для шифрування імені користувача та пароля, так як в разі відсутності цього протоколу дані передаються в незашифрованому вигляді, що дозволяє перехоплювати їх, використовуючи найпростіші програмні засоби для перегляду даних, що пересилаються по мережі.
Компанія Kookaburra Software розробила інструмент, який полегшує використання файлів cookie. Називається інструмент CookiePal (http://www.kburra.com/cpal.html (див. www.kburra.com )). Дана програма призначена для попередження користувача при спробі Web-вузла встановити на машину файл cookie, при цьому користувач може дозволити або заборонити цю дію. Подібні функції блокування файлів cookie на сьогодні є у всіх браузерах.
Ще однією причиною регулярної установки оновлень Web-броузера, є постійно виявляються вади системи безпеки цих програм. Так, Бенет Хейзелтон (Bennet Haselton) і Джемі МакКарті (Jamie McCarthy) створили сценарій, який після клацання на посиланні добуде їх cookie з машини клієнта. В результаті стає доступним весь вміст файлів cookie, які знаходяться на машині користувача.
Злом подібного роду може бути також здійснений за допомогою дескриптора <IFRAME>, вбудованого в HTML-текст на Web-сторінці (або в HTML-вміст електронного листа або розсилки груп новин) для викрадення файлів cookie. Розглянемо наступний приклад:
<Iframe src = "http: //www.peacefire.org%2fsecurity%2fiecookies%2f showcookie.html% 3f.yahoo.com /"> </ iframe>
Для того, щоб подібні речі не загрожували нашим особистих даних, сам так роблю і всім раджу завжди оновлювати ПО, яке працює з HTML-кодом (e-mail клієнти, медіа-програвачі, браузери і т.д.).
Багато хто віддає перевагу просто блокувати отримання файлів cookie, однак, більшості Web-вузлів для перегляду необхідна підтримка cookie. Висновок - якщо в недалекому майбутньому з'явиться інноваційна технологія, що дозволяє обходиться без cookie, програмісти і адміністратори з полегшенням зітхнуть, а поки cookie залишається ласим шматком для хакера! Це дійсно так, оскільки більш якісної альтернативи поки не існує.
Заходи протидії, що виконуються на стороні сервера
У разі рекомендацій щодо забезпечення безпеки сервера фахівці дають одну просту пораду: не використовуйте механізм cookie без особливої на то потреби! Особливо необхідно бути обережними при використанні файлів cookie, які залишаються в системі користувача після завершення сеансу зв'язку.
Звичайно ж, важливо розуміти, що файли cookie можуть використовуватися в цілях забезпечення безпеки Web-серверів для здійснення авторизації користувачів. Якщо все ж розробляється з додатком необхідно використовувати файли cookie, то цей механізм слід налаштувати таким чином, щоб при кожному сеансі використовувалися різні ключі з коротким періодом дії, а також прагнути не поміщати в ці файли інформацію, яка може бути використана хакерами для злому (таку як ADMIN = TRUE).
Крім того, для забезпечення більшої безпеки при роботі з файлами cookie можна використовувати їх шифрування для запобігання вилучення важливої інформації. Звичайно ж, шифрування не вирішує всіх проблем безпеки при роботі з технологією cookie, однак цей метод дозволить запобігти найбільш прості зломи, описані вище.
