Inhoudsopgave:
Video: DOLMIO PEPPER HACKER TECH CASE STUDY 2024
te beoordelen. Caleb Sima, een bekende expert op het gebied van applicatiebeveiliging, was in deze casestudy verloofd met het hacken van een webapplicaties van de klant. Dit voorbeeld van het ontdekken van een beveiligingsrisico is een goed waarschuwend verhaal om uw persoonlijke gegevens te beschermen.
De situatie
Mr. Sima werd ingehuurd om een penetratietest voor de webapplicatie uit te voeren om de beveiliging van een bekende financiële website te beoordelen. Uitgerust met niets meer dan de URL van de belangrijkste financiële site, ging Sima op zoek naar wat andere sites voor de organisatie bestonden en begon Google met het zoeken naar mogelijkheden.
Mr. Sima voerde aanvankelijk een geautomatiseerde scan uit tegen de hoofdservers om elk laag hangend fruit te ontdekken. Deze scan leverde informatie op over de versie van de webserver en enige andere basisinformatie, maar niets dat nuttig bleek te zijn zonder verder onderzoek. Terwijl Sima de scan uitvoerde, merkten noch de IDS noch de firewall iets van zijn activiteit op.
Vervolgens vroeg Mr. Sima een verzoek aan de server op de eerste webpagina, die een aantal interessante informatie retourneerde. De webapplicatie leek veel parameters te accepteren, maar toen de heer Sima door de site bleef bladeren, merkte hij dat de parameters in de URL hetzelfde bleven.
Mr. Sima besloot om alle parameters in de URL te verwijderen om te zien welke informatie de server zou retourneren wanneer deze wordt opgevraagd. De server antwoordde met een foutmelding die het type applicatieomgeving beschrijft.
Vervolgens voerde Mr. Sima een Google-zoekopdracht uit op de applicatie die resulteerde in een aantal gedetailleerde documentatie. Dhr. Sima vond binnen deze informatie verschillende artikelen en technische aantekeningen die hem lieten zien hoe de applicatie werkte en welke standaardbestanden mogelijk zouden bestaan. In feite had de server verschillende van deze standaardbestanden.
Mr. Sima gebruikte deze informatie om de applicatie verder te onderzoeken. Hij ontdekte snel interne IP-adressen en welke services de applicatie bood. Zodra meneer Sima precies wist welke versie de admin draaide, wilde hij zien wat hij nog meer kon vinden.
Mr. Sima bleef de URL van de applicatie manipuleren door & karakters in de instructie toe te voegen om het aangepaste script te besturen. Met deze techniek kon hij alle broncodebestanden vastleggen. De heer Sima heeft een aantal interessante bestandsnamen genoteerd, waaronder VerifyLogin. htm, ApplicationDetail. htm, CreditReport. htm en ChangePassword. htm.
Vervolgens probeerde meneer Sima verbinding te maken met elk bestand door een speciaal geformatteerde URL naar de server te sturen.De server stuurde voor elke aanvraag een bericht dat de gebruiker niet was aangemeld en meldde dat de verbinding moest worden gemaakt vanaf het intranet.
De uitkomst
Mr. Sima wist waar de bestanden zich bevonden en kon de verbinding opsnuiven en vaststellen dat de ApplicationDetail. htm-bestand stel een cookiestring in. Met weinig manipulatie van de URL raakte Sima de jackpot. Dit bestand stuurde klantinformatie en creditcards terug wanneer een nieuwe klantapplicatie werd verwerkt. CreditReport. htm stond de heer Sima toe om de status van het klantkredietrapport, fraudegegevens, geweigerde applicatiestatus en andere gevoelige informatie te bekijken.
De les: Hackers kunnen allerlei soorten informatie gebruiken om webtoepassingen te doorbreken. De individuele exploits in deze casestudy waren minimaal, maar in combinatie resulteerden ze in ernstige kwetsbaarheden.
Caleb Sima was charter-lid van het X-Force-team bij Internet Security Systems en was het eerste lid van het penetratietestteam. De heer Sima ging verder met het samenstellen van SPI Dynamics (later overgenomen door HP) en werd zijn CTO, evenals directeur van SPI Labs, de applicatie-beveiligingsonderzoeks- en ontwikkelingsgroep binnen SPI Dynamics.