Вниз

15 Март 2012

Бесплатные хостинги и защита информации

Большое количество контор, которые представляют бесплатный хостинг, дающий разрешение на пользование cgi, asp, php, имеют большой риск быть взломанными - защита информации носит здесь поверхностный характер. Некоторые пользователи устанавливают туда собственные скрипты, тем самым наносят вред и себе, и хостеру. Наиболее распространенные ошибки:

  1. Выполнение команды.
  2. Установка программ.
  3. Атака DOS на скрипт.
  4. Чтение файла.
  5. Ошибки sendmail.

Вообще, самой страшной ошибкой считается выполнение команды. Из этой ошибки можно вывести все остальные возможные случаи. Ее применяют следующим образом: после обращения к файлу ОС проверяет последний байт. В случае, если в нем содержится "1", происходит выполнение команды (file = rm - a 1). Для достижения такой ошибки необходимо к тому же применить все остальные ошибки. В этом случае видно, что все остальные ошибки являются доступом к командам.

Ошибка в sendmail дает возможность сломать сервер таким образом. Пример запуск ошибки sendmail помогает отправить на почту Microsoft файл, который называется letter.txt. Можно представить, что будет, если вместо почты Microsoft будет ваша почта, а вместо файла lettet.txt будет - /eth/psd. Обычно sendmail очень пассивный или дырявый, его называют очень часто - дуршлаг. Множество эксплоитов приносят загромождение интернета для данной программы. И только программа гарантированного уничтожения информации может порой помочь.

Атаки DOS. Скрипты.

Атаки DOS служат для того, чтобы переполнить буфер. С их помощью сервер зависает и приходит в состояние беспомощности. Бывает множество случаев, когда скрипты не защищены. Названия самых актуальных скриптов такие: intmail, tigvote, guestbook и другие. Необходимо заметить, что большинство пользователей с осторожностью относятся к сохранению страниц обращений на диск, а потом изменяют их для дальнейшей эксплуатации. В ascript.pl и freecgilib.cgi содержится большое количество функций защиты, но в случае, когда данные дополнения не стоят на сервере, то совсем не означает, что он не является защищенным. Ни для кого не секрет, что писать проверку и другие противохакерские действия многим просто лень. Для таких людей был fridloan.c для Линукса. После его запуска он давал возможность скачивать себе на винчестер скрипты. Но сейчас, на новых серверах dns и web его убрали. Но все равно часто возникает возможность скачивать скрипт и разбираться в нем.

Существует так называемое правило хакера, которое говорит о том, чтобы хакер не ленился и скачивал скрипты при получении рута.

Еще из рубрики Заметки

Поделись своими мыслями!

(обязательно)
(обязательно)

Почтовые адреса не публикуются.

Подпишись на комментарии