A04:2021 - Insecure design - Information disclosure

A04:2021 - Diseinu segurua - Informazioa zabaltzea

2024(e)ko azaroaren 4(a) Celia Catalán

Sarrera

Informazioa zabaltzea segurtasun ahultasun bat da, eta horren kritikotasuna lortutako informazioa zenbaterainokoa den izango da.

Web-aplikazio batek nahi gabe datu sentikorrak edo isilpekoak baimendu gabeko erabiltzaileei erakusten dizkienean gertatzen da. Ahultasun hori hainbat modutan ager daiteke, besteak beste, sistemaren xehetasun teknikoak, konfigurazio informazioa, erabiltzailearen datuak edo iturburu-kode zatiak ezagutaraziz.

Esposizio honek aplikazioaren osotasuna eta konfidentzialtasuna arriskuan jartzeaz gain, erasotzaile potentzialei informazio baliotsua eman diezaieke sistemaren aurkako eraso sofistikatuagoak planifikatu eta gauzatzeko.

Eragina

Informazioa zabaltzeak web aplikazio baten segurtasunean duen eragina nabarmena izan daiteke:

Datu sentikorren esposizioa: informazio sentikorra ager daiteke, hala nola pasahitzak, erabiltzailearen datuak edo azpiegituraren xehetasunak.

Eraso sofistikatuagoak erraztea: Erasotzaileek lortutako informazioa erabil dezakete eraso zehatzagoak eta eraginkorragoak planifikatzeko eta gauzatzeko.

Konfiantza galtzea: erabiltzaileek aplikazioa zaurgarria dela ikusten badute, konfiantza galtzea eta erakundearen ospea kaltetu ditzake.

Arau-ez-betetzea: ezagutarazitako informazioaren izaeraren arabera, pribatutasun- eta datu-segurtasun-arauak urratzea ekar dezake.

Sistemaren osotasunaren konpromezua: zabaldutako informazioa sistemaren osotasun eta segurtasun orokorra arriskuan jartzeko erabil daiteke.

Eragin hauek web aplikazioetan informazioa zabaltzeko ahultasunak identifikatzearen eta arintzearen garrantzia azpimarratzen dute.

Adibide praktikoak

Jarraian, web aplikazioetan informazioa zabaltzeko ahultasunen adibide praktiko batzuk daude. Kasu hauek, oharkabean informazio sentikorra nola azal daitekeen erakusten dute, erasotzaileei aplikazioaren azpiegiturari eta barne funtzionamenduari buruzko datu baliotsuak eskainiz.

Adibide bakoitzak eszenatokiaren deskribapena, eragin potentziala eta gomendatutako arintze neurriak biltzen ditu. Garrantzitsua da kasu hauek ulertzea web aplikazioen segurtasuna hobetzeko eta erakundearen informazio sentikorra babesteko.

1. Errore-mezuak

Kasu zehatz honek helburu estrategiko batekin web orri batean akatsak eragiteko nahita teknikari egiten dio erreferentzia. Praktika honen helburu nagusia sistema erabiltzen ari den softwarearen bertsioari buruzko informazio erabakigarria agerian uztea da.

Taktika honek, itxuraz sinplea den arren, erasotzaile bati web aplikazioaren azpiko azpiegitura teknologikoari buruzko datu baliotsuak eman diezazkioke. Akats horiek nahita behartuz, erasotzaileak sistemaren erantzunak ustiatu nahi ditu normalean ezkutatuta egongo liratekeen xehetasun teknikoak lortzeko.

Informazio horrek softwarearen bertsio zehatza ez ezik, beste xehetasun batzuk ere izan ditzake, hala nola web zerbitzari mota, azpiko sistema eragilea edo iturburu-kode zatiak. Elementu horiek guztiak geroago eraso sofistikatuagoak eta norakoak planifikatzeko erabil daitezke.

Laburpen

Errore bat nahita sortu da web aplikazioan.

Sortutako errore-mezuak informazio batzuk erakusten ditu. Lortutako informazioa software bertsioak, fitxategi-bideak edo zerbitzariaren konfigurazioak izan ditzake.

Adibidea

Web orri batean errore bat sortzeko hainbat modu daude. Kasu honetan, oso ohikoa den bat azalduko dugu, zenbakizko balio ZENBAKIA jasotzea espero den parametro bati balio ez-zenbakigarria bidaltzen zaionean.

https://<victim_web>/product?productId=2

Kasu honetan, productId parametroaren balioa aldatuko da zenbakizko balio ez den balio bat bidaltzeko eta horrela errore bat behartzeko:

https://<victim_web>/product?productId="

Irudian, modu honetan, errore bat behartu eta erabiltzen ari den web zerbitzariaren bertsioa eskuratzea posible dela ikus daiteke.

Arintzea

Ahultasun mota hau saihesteko, gomendagarria da:

Behar bezala konfiguratu errore-mezuak, informazio sentikorra ager ez dezaten

Ezarri xehetasun teknikoak ezkutatzen dituen erroreen kudeaketa pertsonalizatua

Mantendu softwarea eta sistemak eguneratuta ezagutzen diren ahuleziak murrizteko

Egin aldian-aldian segurtasun-probak datu-isuriak identifikatzeko eta konpontzeko

2. Instalazio fitxategi lehenetsiak / Araztu fitxategiak

Eszenatoki honetan, konfigurazio lehenetsian geratu diren instalazio-fitxategiak identifikatzea eta kokatzea da helburua. Fitxategi hauek sistemaren azpiegituran erabiltzen den softwarearen bertsio zehatzei buruzko informazio baliotsua eta sentikorra izan dezakete.

Fitxategi hauen presentziak xehetasun tekniko erabakigarriak ezagutzera emateaz gain, softwarearen bertsio jakin batzuekin lotutako ahultasun ezagunak agerian utz ditzake, erasotzaile gaiztoek sistemaren segurtasuna arriskuan jartzeko.

Laburpen

Errekonozimendu fase bat exekutatzen da, non fitxategiak eta direktorioak arakatzeko tresnez edo direktorioen zenbaketaz gain, sitemap.xml edo robots.txt bezalako fitxategiak erabiliz bilatzen diren.

Arazketa-fitxategiak edo instalazioan sortutakoak zenbait informazio sentikorra dauka. Lortutako informazioa software bertsioak, fitxategi-bideak, zerbitzariaren konfigurazioak, gakoak eta tokenak testu argian izan ditzake

Adibidea

Kasu honetan, dirsearch direktorioen zenbaketa tresna eta SecList-en big.txt hiztegia erabiliz, honako fitxategia zenbatzea posible izan da.

dirsearch -u https://victim_web -w ~/Tools/SecLists/Discovery/Web-Content/big.txt

phpinfo.php fitxategia PHP gaitutako web zerbitzarietan erabili ohi den diagnostiko-script bat da. Fitxategi honek, sartzen denean, PHP zerbitzariaren konfigurazioari buruzko informazio zehatza erakusten du, software bertsioak, gaitutako luzapenak eta sistemaren aldagaiak barne.

Kasu honetan, artxibo honetan jasotako informazioaren artean, informazio sentikor anitz dagoela ikus daiteke, aldez aurretik autentifikatu gabe atzitu daitekeela.

Ikus dezakegunez, fitxategi hau produkzio-ingurunean eskuragarri uzteak segurtasun-arrisku handia izan dezake, erasotzaile gaiztoek ustiatu dezaketen informazio sentikorra agerian uzten baitu.

Arintzea

Instalazio lehenetsiarekin edo arazketa fitxategiekin lotutako arriskuak saihesteko gomendagarria da:

Ezabatu edo mugatu ekoizpen-inguruneetako diagnostiko-fitxategietarako sarbidea

Ezarri sarbide-kontrol sendoak fitxategi sentikorretarako

Erabili web aplikazioen suebakiak (WAF) arriskutsuak izan daitezkeen fitxategietarako sarbidea blokeatzeko

Egin aldian-aldian segurtasun-ikuskaritzak beharrezkoak ez diren fitxategiak identifikatzeko eta kentzeko

Konfiguratu behar bezala fitxategi eta direktorioen baimenak web zerbitzarian

Erabili ahuleziak aztertzeko tresnak agerian dauden fitxategiak detektatzeko

Produkzioan arazketa-fitxategiak egotea debekatzen duten segurtasun-politikak ezartzea

Hezi garatzaileak diagnostiko fitxategiak eskuragarri uztearen arriskuei buruz

3. Ezkutuko fitxategiak

Eszenatoki honetan, helburua da erakundearentzat informazio sentikorra edo arriskutsua izan dezaketen ezkutuko fitxategiak identifikatzea eta aurkitzea. Fitxategi hauek, sarritan oharkabean agerian jarrita, arrisku handia izan dezakete enpresaren segurtasunerako, aktore gaiztoek aurkitu eta ustiatzen badituzte.

Aurreko adibideetan aipatutako direktorioen arakatze- eta zenbaketa-teknikak aplikagarriak izan daitezkeen arren, kasu zehatz honetan ezkutuko baliabide hauek agertzeko metodo alternatibo eta sotilagoetan zentratuko da. Estrategia alternatibo hauek zerbitzariaren erantzunak aztertzea, iturburu-kodea ikuskatzea eta ohiko izendapen-ereduak ustiatzea izan daitezke, beste ikuspegi sofistikatuago eta ez hain intrusibo batzuen artean.

Laburpen

Errekonozimendu-fase bat exekutatzen da, non fitxategiak eta direktorioak arakatzeko tresnak edo direktorioen zenbaketaz gain, sitemap.xml edo robots.txt bezalako fitxategiak erabiliz bilatzen diren.

Teknika hauen bidez aurkitutako fitxategiak barne dokumentazioa, datu finantzarioak, erabiltzailearen kredentzialak, iturburu-kodea eta abar izan daitezke.

Adibidea

Adibide honetarako, web aplikazioaren fitxategi-egiturari buruzko informazioa robots.txt fitxategira sartuz lortuko da.

Robots.txt fitxategia webguneetan erabiltzen den testu-fitxategia da, bilatzaileen robotei guneko zein orrialde edo atal arakatu eta indexatu behar diren edo ez esateko.

https://victim_web/robots.txt

/backup direktorioa sartu ondoren, adibide honetan ikus dezakezu aplikazioaren iturburu kodea duen fitxategi bat dagoela.

Kasu honetan, ikus daiteke segurtasun-kopia fitxategiak aplikazioaren iturburu-kodea duela informazio sentikorrarekin, hala nola datu-base baterako konexio-katea, non pasahitza dagoen. SQL injekzio bat antzeman daitekeen datu-baserako kontsultaz gain.