| | ||||||||||||||||||||||||||||||
|
||||||||||||||||||||||||||||||
|
|
||||||||||||||||||||||||||||||
|
Сайт Openhack взломан!Тимоти Дик (Timothy Dyck), eWEEK 10 июля 2000 г. Через семь дней после открытия нашего конкурса хакеров Openhack на сайте www.openhack.com был зафиксирован первый успешный взлом электронного магазина. Остальной сайт, включая веб-сервер, сервер электронной почты и базу данных, пока держится, продолжая оставаться мишенью для новых атак. 3 июля хакер из Австрии Александр Лазич (Alexander Lazic) проник в пакет электронной коммерции MiniVend компании Akopia, обнаружив и использовав два ранее неизвестных пробела в ее защите. (Этот пакет и новые заплатки к нему расположен на сайте www.minivend.com.) В тот же день мы информировали автора MiniVend Майка Хайнса (Mike Heins) о проблемах защиты. 5 июля он опубликовал поправку и заверил нас, что на веб-сайте продукта скоро появится исправленная версия MiniVend. Это жизненно важно для пользователей MiniVend, которых, по оценкам Хайнса, насчитывается от 5 до 10 тысяч + он утверждает, что продукт эксплуатируется на десятках тысяч сайтов (пользователи сгрузили с www.minivend.com миллион копий MiniVend), и теперь все они уязвимы для вновь обнаруженных методов взлома. Простейший способ защитить веб-магазины MiniVend + это удалить файл VIEW_PAGE.HTML, так как проблема кроется именно в нем. Вот как Лазич проник на сайт. После того как стандартное сканирование сети ничего не дало, он определил, какую программу мы использовали для э-магазина + MiniVend. Он загрузил код MiniVend, который распространяется бесплатно, и попробовал отыскать в нем лазейки. Первую из них Лазич обнаружил в файле VIEW_PAGE.HTML. Это часть демонстрационного магазина MiniVend (вот пример опасности демонстрационного кода). В нем нет проверки на наличие символа трубки (вертикальной черты), что означает, что к имени файла можно добавить команду операционной системы. VIEW_PAGE.HTML обращается к подпрограмме MiniVend с именем READFILE, расположенной в файле UTIL.PM, где обнаружилась вторая лазейка: чтобы проверить наличие файла, код без достаточной защиты использует системный вызов OPEN языка Perl. В данном случае команда OPEN передает входные данные в командную оболочку. Если в этих данных после вертикальной черты содержится команда, она выполняется, используя разрешения, содержащиеся в программе MiniVend. гТак делать нельзя, + говорит Хайнс. + MiniVend существует почти пять лет, но некоторые части кода так и остались неизменными. Если бы я писал эту программу в последние годы, я бы так не поступилё. Итак, Лазич получил возможность, будучи пользователем MiniVend, выполнять любую команду операционной системы. Он переименовал первоначальную домашнюю страницу электронного магазина, а затем воспользовался командой Unix ECHO для создания вместо нее новой страницы. Нам удалось предотвратить это, сделав шаблоны MiniVend доступными пользователям только для чтения. Отметим, что Лазич не получил доступ к нашему серверу электронной коммерции на уровне root. Мы установили все заплатки операционной системы и считаем себя защищенными от любых известных локальных и дистанционных атак на этот уровень.
|
