Уязвимости в исходных кодах 2
Эта статья является логическим продолжением предыдущей. Если вы читали ее, то помните, что мы говорили об уязвимостях в исходных кодах на языке Си. В этой статье я хочу поговорить об ошибках в CGI программах. Как показывает практика, баги в скриптах не уступают по своей опасности уязвимостям в прикладных программах.
Мы поговорим о perl скриптах. Возможно, вы скажете, что perl уже устарел и в web он мало где используется. Но все-таки он есть. И думаю, знание слабых мест этого языка никому не помешает.
B O D Y
Perl расшифровывается, как Practical Extraction and Report Language (практический язык для извлечения данных и составления отчётов). Он простой, мощный и небезопасный. Некоторые дыры в скриптах на перл похожи на дыры в php скриптах.
К этому можно отнести SQL injection или XSS. Но есть и индивидуальные ошибки. Например, символ конвейера перл может воспринять как команду на запуск приложения. Кстати, в перл не может быть переполнения буфера в отличие от того же Си.
Это все разберём ниже. Прежде чем рассказывать про аудит кода, я покажу и расскажу принцип работы CGI сканеров.
CGI сканеры
Как и любое другое действие, поиск уязвимостей можно автоматизировать. Одним из решений является применение CGI сканеров (сейчас их называют сканеры безопасности).
В состав классического сканера обязательно входит база наименований уязвимых скриптов. База составлена с помощью нашего любимого багтрака. Так можно составить свою базу. Сканеры берут данные из базы и производят запрос к нужному серверу. Если сервер отвечает, что файл такой есть, можно пойти и найти описание уязвимости. Часто такие сканнеры постепенно обрастают разными функциям вроде составление листинга директорий сайта либо Revers IP(определение какие еще соседние домены зарегистрированы на сервере)
Разберём несколько программ:
Nikto – конечно, эта программа должна быть на первом месте. Написана на перл (кстати). Есть поддержка SSL. Проверяет хост на известные уязвимости, также на устаревшее ПО. Есть как для linux так и для Winдows. Кстати nikto построен на основе легендарного (но, к сожалению, устаревшего) сканера Whisker.
VOID EYE-работает через прокси. Поддержка скинов.
UKR Cgi Scanner - еще один. Написан на Perl. Имеет html дизайн.
Автоматизация это конечно хорошо, но вы не должны забывать, что сканеры не дают 100% гарантии. Программы пишут люди, а людям свойственно ошибаться. Поэтому полагаться целиком на сканеры не стоит.
А теперь поговорим о поиске багов aka «багоискательстве».
Аудит кода
В прошлой статье я говорил о том, что нужно проверять все входящие данные. Как ни странно, но на CGI программы это правило тоже действует. Даже, пожалуй, нужно еще более жестко следить за входящей информацией. Обычно пользователь вводит ее в текстовое поле, либо в адресной строке (при GET запросе).
Самая старая и известная бага: при открытии файла подставляем «|»(pipe – пайп) и выполняем команды на сервере.
Работает это через функцию open. Приведупример:
#тут получаем данные в переменную, например из веб формы
$n=$F{data}
#Открываем
open(TEXT,$n)
#считываем
while(<DATA>)
{
Выводим.
print $_;
}
Если ввести ,например, ls| получим листинг директории (если мы в *nix системе) Т.е. выполняется консольная команда, если пристыковать к ней «|» Правда, уязвимость постепенно уходит в историю.
Тут как раз можно поговорить про «пайпы»(|); При работе с open можно использовать опцию «-е»
Он проверяет, есть ли в переменной pipe. Если есть, дает пинка. Пример:
$n=$F{data}
if(!(-e $n)) die("нАз засекли");
open(TEXT,$n);
Но, естественно, эту защиту можно обойти