Napadi na web aplikacije

Vrste napada DoS – Denial of Service Napadi bazirani na otvaranju datoteke/direktorijuma Sql Injection Cross-site skripting Izvršavanje aplikacija preko shell naredbi

DoS (Denial of Service) napadi Dovode do toga da aplikacija delimično ili potpuno prestane da bude responsivna za korisnike Ne uništavaju aplikaciju ili podatke Neke vrste DoS napada Memory starvation (računar ostaje bez memorije) CPU starvation (procesor se preopterećuje) Resource starvation (prepuni se ograničeni resurs kao što je hard disk)

Memory/disk space starvation - primer Napomena: Primer dat kao C# file „Public“ funkcije (biblioteka funkcija) koje klijentske aplikacije mogu pozivati Memory starvation – alociranje prevelike količine memorije. U primeru dato kroz prosleđivanje prevelikog stringa kao parametra. Disk starvation – zauzimanje prevelike količine memorije na hard disku. Primer: aplikacija koja upisuje podatke na disk dodajući ih na kraj fajla. Namerno dodavanje prevelike količine podataka može da kreira preveliki fajl. Načini odbrane Ograničiti dužinu ulaznih parametara Proveravati validnost ulaznih parametara Dozvoliti samo autorizovanim korisnicima koji imaju dodeljenu odgovarajuću dozvolu da pozivaju „public“ funkcije

Napadi bazirani na otvaranju datoteke/direktorijuma Podaci koje korisnik unosi se koriste prilikom kreiranja imena datoteke ili direktorijuma koji treba da bude otvoren iz aplikacije Haker manipuliše nazivom datoteke da otvori datoteku sa neke druge lokacije Koristi se najčešće putanja koja sadrži znak .. koji predstavlja trenutno aktuelni direktorijum. Može se doći do direktorijuma na nekoj drugoj lokaciji Primer: ..\..\..\..\Windows\NekiVazanFajl.exe Rezultat: Pozivom funkcije koja treba da kreira neki novi fajl, zapravo bude izbrisan ili izmenjen neki postojeći sistemski fajl. Odbrana: Koristiti kanonička imena datoteka, koja ne sadrže znake .. Proveravati validnost podataka prosleđenih od strane korisnika

Cross-site scripting Web aplikacije koje dozvoljavaju da se podaci koje korisnik unosi kombinuju sa HTML kodom Primer: Web forma na kojoj korisnik unosi korisničko ime, koje se potom (bez provere validnosti) prikazuje na HTML stranici Ako korisnik unese „korisničko ime“ koje sadrži klijentski skript, taj skript će se se izvršiti Na primer, ovakav skript može ubaciti („inject“) u HTML napadnute stranice URL hakerske web stranice, na koju će se onda poslati osetljivi podaci (npr username/password) Odbrana Validacija podataka koje korisnik unosi na Web formu Kodiranje unetih podataka korišćenjem funkcija kao HtmlEncode za pretvaranje specijalnih znaka kao < > u kodirane znake kao < >