Webový server je systém používaný k ukládání, zpracování a doručování webových stránek. Je navržen tak, aby hostoval webové aplikace a umožňoval klientům přístup k těmto aplikacím.
Implementuje architekturu modelu klient-server, ve které má roli serveru a prohlížeč má roli klienta.
Webové servery se skládají z:
Stejně jako u jiných počítačových systémů mohou být kompromitovány i webové servery. Útočníci používají různé techniky k zahájení útoků na cílové webové servery a k získání neoprávněného přístupu.
Mezi útoky patří:
Útok DoS / DDoS je útok, při kterém útočník odešle velký počet požadavků na cílový webový server, aby zabránil správnému fungování serveru.
Únos únosem serveru DNS je útok, při kterém útočník zacílí na server DNS a temperuje pomocí jeho nastavení mapování, což umožňuje přesměrovat klienty na darebácký server útočníka, který slouží útočníkově škodlivému webu.
DNS Amplification Attack je útok, při kterém útočník používá rekurzivní dotaz DNS k odeslání velkého počtu požadavků s IP adresou cíle na server DNS s výzvou k odpovědi na IP adresu cíle a takovým způsobem zahltí server cíle.
Útok adresářovým procházením je útok, při kterém útočník manipuluje s cílovou adresou URL, aby získal přístup k omezeným adresářům.
Man-in-the-middle attack je útok, při kterém útočník zachytí provoz, který jde z klienta na server a zpět. Dělají to tak, že přimějí klienta, aby si myslel, že útočník je proxy. Jakmile klient přijme připojení od útočníka, celá komunikace mezi klientem a serverem prochází útočníkem a umožní mu ukrást informace.
Phishingový útok je útok, při kterém útočník pošle e-mailem cíl pomocí škodlivých odkazů. Jakmile cíl klikne na odkaz, bude přesměrován na škodlivý web, který ho vyzve k poskytnutí citlivých informací. Útočník pak tyto informace ukradne.
Útok znetvoření webu je útok, při kterém útočník provede změny v obsahu cílového webu.
Útok na nesprávnou konfiguraci webového serveru je útok, při kterém útočník zneužije chyby zabezpečení při nesprávné konfiguraci serveru.
Útok rozdělením odpovědí HTTP je útok, při kterém útočník vloží nové řádky do záhlaví odpovědí, čímž server rozdělí jednu odpověď na dvě. Útočník je poté schopen ovládat první odpověď přicházející ze serveru a přesměrovat klienta na škodlivý web.
Otrava webovou mezipamětí je útok, při kterém útočník nahradí obsah v mezipaměti škodlivým.
SSH útok hrubou silou je útok, při kterém útočník získá přihlašovací údaje SSH a vytvoří tunely SSH mezi dvěma hostiteli, přes které pak může přenášet škodlivý obsah.
Útok na prolomení hesla webového serveru je útok, při kterém útočník prolomí hesla cílového serveru a použije je k provádění nových útoků.
Útok webové aplikace je útok, při kterém útočník zneužije chyby zabezpečení v kódu aplikace.
Metodika hackování webového serveru poskytuje útočníkům kroky, které je třeba provést, aby provedli úspěšný útok.
Jedná se o tyto kroky:
Během kroku shromažďování informací se útočník může pokusit získat cíl cíle robots.txt
soubor, který obsahuje adresáře a soubory, které jsou skryty před webovými prohledávači. Tento soubor může útočníkovi poskytnout informace, jako jsou hesla, e-maily a skryté odkazy.
K provedení výše uvedených kroků a úspěchu v hackování používají útočníci nástroje jako např Metasploit a Wfetch .
Metasploit je platforma pro testování penetrace, která vám umožňuje najít, zneužít a ověřit chyby zabezpečení.
Wfetch je nástroj, který zobrazuje požadavek a odpověď, takže komunikaci lze snadno pochopit. Lze jej použít k vytvoření požadavků HTTP, které testují výkon nových webů nebo webů, které obsahují nové prvky, jako jsou například Active Server Pages (ASP) nebo bezdrátové protokoly.
Doporučuje se, aby se webhostingová síť skládala ze tří částí:
Webový server by měl být umístěn v DMZ tak, aby byl izolován od Internetu i interní sítě. Každá část by měla být chráněna bránou firewall a měla by mít vlastní rozbočovač nebo přepínač.
Dalším protiopatřením je zajistit, aby byl server pravidelně aktualizován a aby byly použity bezpečnostní opravy a opravy hotfix. Porty a protokoly, které se nepoužívají, by měly být blokovány, stejně jako veškerý zbytečný přenos ICMP.
Výchozí hesla a nepoužívané výchozí účty by měly být změněny a deaktivovány.
Protokoly by měly být často sledovány, aby bylo zajištěno, že server nebyl ohrožen.
Změny ve spustitelných a běžných souborech lze zjistit spuštěním skriptu System Change Detection System, který pravidelně provádí hašovací srovnání souborů, aby se zjistilo, zda v nich nebyly provedeny nějaké úpravy, a vyvolalo se upozornění.