Hej,
witam w pierwszym poście z obszaru cyberbezpieczeństwa! Zaczniemy od praktyki, a posłuży do niej ten blog, bo zawiera odnośniki i podstrony, co w zupełności wystarcza, by przysłużyć się tematowi 😊
Kliknięcie odnośnika to czynność, która rozpoczyna sekwencję zdarzeń.
Sieciową część z nich można podejrzeć wykorzystując guzik F12, uruchamiający narzędzia developerskie przeglądarki. To w nich, w zakładce Network widoczna będzie lista żądań występujących po kliknięciu w odnośnik 👍
I teraz tak. Mam na blogu podstronę o nazwie Handshake, do której dostęp można uzyskać pod adresem https://wee-code.blogspot.com/p/about-me.html. Prowadzi do niej odnośnik Handshake 🤝 umieszczony w sekcji linków. Prosta sprawa.
Pora na pytanie. Czy mam jakąś podstronę, do której nie istnieje zamieszczony na blogu odnośnik? Być może 🤭
Na blogu nie ma przecież żadnego odnośnika do podstrony https://wee-code.blogspot.com/p/hello.html, a gwarantuję, że i ona istnieje. Szczegół w tym, że dostać się do niej można jedynie kiedy wie się o jej istnieniu. Ta podstrona została utworzona na potrzeby posta i jej ekspozycja pozostaje pod moją kontrolą. Czy w innych warunkach mogłaby stanowić zagrożenie? Co, gdyby taka podstrona zawierała wrażliwe dane? Co, gdyby taka podstrona umożliwiała dostęp do wykonywania operacji na poziomie administratora?
Pytanie jak miałaby umożliwić taki dostęp.
Otóż wystarczy, by taka podstrona istniała w fazie wykonywania testów i nie została usunięta na produkcji. Chwila nieuwagi i zagrożenie dla produktu hula razem z nim.
Istotne jest, aby nie zostawiać za sobą takich wystających endpointów. Bo choć, by dostać się do zasobów nieprzeznaczonych dla użytkownika końcowego należy znać ich adres, istnieją również narzędzia wyspecjalizowane w szukaniu tych adresów. Nie są one niezawodne, ale są i należy mieć to na uwadze.
Tego typu atak jest dla Analityka ds. Cyberbezpieczeństwa bardzo charakterystyczny. Widać wówczas w logach wiele żądań z jednego adresu IP, tempo zapytań jest bardzo szybkie - za szybkie dla człowieka, pojawiają się częste odpowiedzi HTTP 404 czy 403. Analityk ma możliwość oceny tego, że zapytania nie są kierowane przez przeglądarkę, a przez narzędzie. Także sygnały przeprowadzania tego typu skanowania pozostają co do zasady bardzo wyraźne, a sam atak ma charakter brute-force.
Narzędziem, które wykonuje tego typu zadanie, jest np. dirsearch. Można o nim poczytać w zamieszczonym linku 😊
Pozdrowienia!
n.