In che modo gli hacker sono riusciti a modificare il testo delle mie pagine senza un modulo o querystring?

1

Gestisco un piccolo sito che esegue pagine ASP classiche vecchio stile con un back-end Access.

Recentemente, il sito è stato violato. L'autore dell'attacco è riuscito ad aggiungere una grande quantità di codice alla pagina index.asp. Per lo più erano contenuti statici, molti link a siti dubbi, quel genere di cose, con un po 'di scripting. Non mi sono fermato ad analizzare gli script - ho appena cancellato tutto e ripubblicato la pagina.

Non c'è niente in quella pagina indice che accetta input dinamici: nessuna casella di ricerca, nessun caricamento di file, nessuna sequenza di query. C'è altrove nel sito, che include alcuni semplici forum software, ma non in prima pagina.

Poiché non vi è alcun input sulla pagina che è stata compromessa, presumo che questo fosse un difetto nelle difese dell'ospite, e li ho avvertiti del fatto che potrebbe esserci un problema. Dopo un paio di giorni, sono tornati da me sostenendo che erano completamente sicuri e l'attaccante deve aver usato qualche forma di attacco per iniezione per fare il danno.

Questo mi ha sorpreso e allarmato, perché non ero consapevole del fatto che esistessero tecniche per usare l'iniezione su pagine che non accettavano alcun input. Ma la mia conoscenza della sicurezza non è grande, quindi se ci sono, voglio sapere di loro.

Quindi, come può un attacco di iniezione arrivare su una pagina che non ha una forma o una querystring? Oppure la mia società di hosting bluffa e c'è un possibile difetto nella loro sicurezza?

    
posta Matt Thrower 30.07.2014 - 14:44
fonte

1 risposta

4

Una vulnerabilità nei contenuti attivi sul tuo sito non si limita a influire solo su quella parte del tuo sito. Se si dispone di una vulnerabilità che consente l'esecuzione di codice arbitrario, il codice che viene iniettato può eseguire qualsiasi operazione che il processo di esecuzione possa eseguire, incluse potenzialmente operazioni sui file in altre parti del proprio sito.

Questo è molto probabilmente quello che è successo. Il software del forum o qualche altro modulo è stato iniettato in modo tale da consentire la preformazione di un'operazione sui file nella cartella principale e quella utilizzata per modificare i file statici nella pagina principale per iniettare il carico utile del contenuto.

Si tratta di un attacco leggermente sofisticato in quanto probabilmente non è stato fatto esclusivamente con strumenti pratici, ma non è particolarmente difficile supponendo che siano presenti le vulnerabilità appropriate.

    
risposta data 30.07.2014 - 15:55
fonte

Leggi altre domande sui tag