نوشته های محمد حسین نوری

پلتفرم Mitre Attack چیست؟

محمد حسین نوری — Sat, 10 Sep 2022 22:45:50 +0430

در این مقاله درباره Framework از شرکت Mitre با نام Mitre ATT&CK مورد بررسی قرار میگیرد.Mitre Corporation- Mitre Corporationشرکت Mitre که در زمینه شناسایی گروه های هکری و روش ها و تکنیک های حملات رایج در جهان فعالیت میکند، پروژه های رایگان و بروزی در زمینه امنیت دارد که از مهمترین و کاربردی ترین آنها میتوان به Mitre ATTACK اشاره کرد.Mitre Att&ck Framework- MITRE ATTACK Frameworkفریمورک Mitre Attack پروژه ای است که در سال 2013 توسط شرکت MITRE ایجاد شده است و شامل تعداد زیادی Tactic و Techniqueهایی است که در حملات به شبکه ها و سازمان های مختلف پیاده سازی شده است را در قالب ماتریس هایی در دسترس عموم قرار داده است و بدون شک از کامل ترین, منابع تکنیک های هک و امنیت دنیا به شمار میرود. عبارت ATT&CK مخفف Adversarial Tactics, Techniques, and Common Knowledge است.این فریمورک دارای 14 Tactic میباشد که هر تاکتیک، کلیت یک حمله را تعریف میکند.انواع Tacticهای فریمورک Mitre ATTACK:o Reconnaissance – جمع آوری اطلاعاتo Resource Development – تهیه منابع مورد نیازo Initial Access – دسترسی گرفتنo Execution – اجرای کد های مخربo Persistence – حفظ دسترسیo Privilege Escalation – افزایش سطح دسترسیo Defense Evasion – دور زدن مکانیزم های دفاعیo Credential Access – سعی در گرفتن دسترسیo Discovery – جمع آوری اطلاعات جهت شناسایی شبکهo Lateral Movement - به تکنیک‌هایی گفته می‌شود که پس از دسترسی اولیه، توسط عامل حمله سایبری، برای جستجوی داده‌های حیاتی و سایر دارایی‌های ارزشمند و نفوذ عمیق‌تر به یک شبکه مورد استفاده قرار می‌گیرندo Collection – جمع آوری هدفمند توسط نفوذگرo Command and Control – روش های برای ارتباط نفوذگر با سیستم مورد حمله و اجرای دستوراتo Exfiltration – دزدیدن اطلاعات از سازمان و شبکهo Impact – تاثیراتی که نفوذگر بعد از نفوذ میتواند داشته باشدبخش های مهم سایت Mitre Att&ckهر tactic دارای چندین Technique میباشد که جزئیات فنی حمله را مشخص میکند که هرکدام از آنها هم دارای چندین Sub-Technique میباشد.رابط بین Tacticها و Techniqueها را میتوان در صفحه اصلی این سایت به صورت ماتریس مشاهده کرد:Tactic and techniques matrisبرای مثال برای اینکه Reconnaissanceانجام بدهیم، برای این کار میتوانیم تکنیک Active Scanning را انجام بدهیم که خود این Technique دارای چندین Sub-Technique هست مثل World list scanningکه اینهارا میتوان در تست های خود انجام داد.Example-- Mitigationsدر این بخش که در منو میتوان با نام Mitigation آن را پیدا کرد، بخشی است که Mitre روش های کاهش مخاطره در برابر Tactic ها عنوان کرده است.برای مثال روش های کاهش مخاطره با استفاده از Antivirus ها مشخص شده است و برای جلوگیری از Phishing ها میتوان از آنتی ویروس ها استفاده کرد.بخش mitigate-- Group pagesدر این صفحه، گروه های خاص که تهدید به حساب می آیند مانند APTها را به صورت مختصر معرفی میکند و اینکه این گروه ها چه حملاتی را تا به الان انجام دادند و از چه تکنیک ها و تاکتیک هایی برای انجام حملات خود استفاده کردند را در این صفحه میتوانیم ببینیم.بخش Groupscaldera projectابزار CALDERA پروژه ای از ATT&CKابزار Caldera یک ابزار بسیار عالی در زمینه پیاده سازی حملات هست که توسط Mitre توسعه داده شده است. این FrameWork با هدف صرفه جویی در وقت و هزینه برای پیاده سازی Lab ها برای حملات ساخته شده که با توجه به فعالیت ما در حوزه تست نفوذ و Red Team، میتوانیم حملاتی که در Mitre بهشون اشاره شده را پیاده سازی کنیم.طریقه راه اندازی این فریمورک هم خیلی ساده است و میشود با چهار دستور آن را پیاده سازی کرد.به صورت خیلی مختصر این شرکت و پروژه های مهمی در حوزه امنیت سایبری توضیح داده شد، سعی میشه که این پست آپدیت بشه و در آینده از پیاده سازی Caldera ویدیو آماده کنم.در کانال تلگرامم سعی میکنم خبر های آسیب پذیری های جدید و منابع مفید رو به اشتراک بزارماز اینجا عضو شید

جدید ترین آسیب پذیری مایکروسافت | آسیب پذیری Follina

محمد حسین نوری — Mon, 13 Jun 2022 01:39:36 +0430

آسیب پذیری جدید محصولات مایکروسافتی با نام Follinaفولینا، جدید ترین آسیب پذیری Microsoft است که با CVE-2022-30190 نام گذاری شده است و در تاریخ 2022/05/31 کشف شده است که باعث ایجاد دسترسی RCE (Remote Code Execution) میشود که بسیار آسیب پذیری خطرناکی میباشد.آسیب پذیری در محصولات مایکروسافتیوقتی در محصولات مایکروسافتی مثل Word, Outlook, Excel از مبحث Remote Template Feature استفاده کنیم، میتوانیم یک فایل HTML را از یک وبسرور بگیریم و اجرا کنیم و این قابلیت از طریق پروتکل MS-MSDT اجرا میشود.این قابلیت حتی در زمانی اجرا میشود که در محصولات مایکروسافتی Micro غیر فعال است!فرد نفوذگر با استفاده از یک فایلی مانند ورد میتواند درخواستی که میخواهد در سیستم ما انجام شود را انجام دهد و این کار هم میتواند با باز کردن فایل ورد در سیستم قربانی و یا بدون باز کردن فایل انجام شود.بعد از باز کردن فایل آلوده متعلق به محصولات مایکروسافت، ممکن است هر پراسسی در ویندوز اجرا شود.روش شناسایی این آسیب پذیری:در لاگ های SYSMON وEvent Id شماره 1، عبارت MSDT مشخص میشود و با سرچ این کلیدواژه میتوانیم تمامی لاگ های مرتبط با این پروتکل را شناسایی و بررسی کنیم.اگر این آسیب پذیری به صورت Remote از راه دور انجام شود، میتواینم از Event Id 3 هم این حملات را تشخیص دهیم.میتوانیم در Process های ویندوز، Process با نام MSDT را ببینیم که معمولا در زیرمجموعه PowerShell اجرا میشود و همینطور پراسسی با نام sdiaghost.exe بوجود میآید که این Process یک برنامه با نام conhost.exe را اجرا میکند.درصورتی که در لیست Process های ویندوز، Process_name برابر msdt.exe بود و process_parent_name آن برابر یکی از موارد زیر بود، باید به این پراسس مشکوک شد و از دید امنیتی آن را بررسی کرد.در لاگ های دریافتی این موارد باید مورد بررسی قرار داده شوندوقتی این آسیب پذیری اجرا شود، یک سری فایل های .dll در پراسس های ویندوزی اجرا میشوند که باید بعد از دیدن آنها از Safe بودن آنها اطمینان حاصل کرد که parant این dll ها همان فایل مایکروسافتی مخرب میباشد.· Csi.dll· Hlink.dll· Ieframe.dllاز event id 7 در SYSMON که لاگ های dll ها را به ما نشان میدهد میتوانیم برای تشخیص استفاده کنیم.روش های جلوگیری یکی از روش ها برای جلوگیری از این آسیب پذیری، باید به صورت کلی کلید های رجیستری این پروتکل را غیرفعال کنیم:برای این کار در مسیری که در تصویر مشخص شده است در Registry های ویندوز میرویم و کلید های رجیستری مرتبط با آن را پاک کنیم تا این آسیب پذیری برروی سیستم ایجاد نشود.

دی ان اس یا DNS چیست؟ رایج ترین حملات DNS

محمد حسین نوری — Sun, 22 May 2022 02:06:11 +0430

دی ان اس چیست؟دی ان اس یا DNS چیست؟به خاطر سپردن همه آیپی ها کار سخت و نشدنی است، به همین دلیل از سرویسی استفاده میکنیم تا نام دامنه را که برای انسان قابل فهم است را به IP مقصد مورد نظر تبدیل کند; برای مثال به خاطر سپردن IP سرور گوگل (172.217.17.110) ممکن است برای انسان کار دشواری باشد، اما اگر یک نام دامنه برای مثال (Google.com) از آن سرویس وجود داشته باشد به راحتی میتوان به آن دسترسی داشت.درواقع DNS Server مانند دفترچه تلفن اینترنت کار میکند، در دفترچه تلفن شما نام یک نفر را جست و جو میکنید و در آن به شماره آن فرد میرسید و در دنیای اینترنت هم شما به دنبال IP یک نام دامنه میگردید و نام دامنه را از DNS Server درخواست میکنید و پاسخ را دریافت میکنید.دی ان اس یا Domain Name System وظیفه تبدیل نام دامنه به IP و بلعکس را دارد که به این عمل Name Resolution گفته میشود.پروتکل ارتباطی این سرویس DNS است و روی PORT شماره 53 انجام میشود.از DNS server آیپی گوگل را میپرسیمزمانی که ما میخوایم به Google.com متصل بشویم، سیستم ما یک درخواست به DNS Server میفرستد و رکورد مورد نظر را درخواست میکند، برای مثال میپرسد که آدرس IP گوگل چی هست؟ و DNS Server با توجه به رکورد هایی که در آن ثبت شده است به این درخواست پاسخ میدهد.رکورد های DNS چی هستند؟بیشتر از 30 رکورد DNS وجود دارد که در ادامه متداول ترین آنها را به شرح زیر است:رکورد های رایج DNS A Recordرکورد A در DNS به آیپی یک دامنه اشاره دارد و با درخواست این رکورد IPv4 دامنه شما برگردانده میشود.برای مثال ما وقتی آدرس google.com را در مرورگر وارد میکنیم، در اصل با استفاده از رکورد A به آیپی آن (74.125.224.147) وصل میشود و نتیجه را به ما برمیگرداند. PTR Recordاین رکورد دقیقا برعکس رکورد A عمل میکند که نام دامنه را با استفاده ازIPv4 برمیگرداند. AAAA Recordاین رکورد هم دقیقا شبیه رکورد A هست و نام دامنه را به IP برمیگرداند، با این تفاوت که تنها IPv6 دامنه هارا در خود دارد و برمیگرداند.TXT Recordمعمولا برای ذخیره متن های قابل خواندن استفاده میشود و به ادمین امکان ذخیره متن در این رکورد را میدهد که معمولا برای تایید هویت گوگل و تایید SPF استفاده میشود. MX Record (Mail Exchanger)این رکورد ایمیل هارا به سمت سرور ایمیل هدایت میکند. NS Record (Name Server) CNAME Record (Canonical Name Records)از این رکورد برای اتصال یک دامنه یا sub domain به یک دامنه دیگر استفاده میشود.برای مثال وقتی ما میخواهیم کاربران چه با www اول سایت (www.site.com) و چه بدون آن (site.com) به سایت دسترسی داشته باشند، این دو دامنه را به هم متصل میکنیم. SOA Record (start of authority)این رکورد اطلاعات مهمی درباره ادمین دامنه را در خود نگه میدارد. اطلاعاتی مانند آدرس ایمیل ادمین، آخرین وضعیت آپدیت دامنه و همینطور اطلاعاتی درباره DNS Zone. انواع Response های DNSNOERRORبه این معناست که پرس و جوی DNS با موفقیت تکمیل شده است.NXDOMAINاین پاسخ به این معناست که کوئری DNS به دلیل وجود نداشتن نام دامنه مورد نظر انجام نشده است.SERVFAILپاسخی برای کوئری داده نشده است چون پاسخی از سمت سرور داده نمیشود. REFUSEDبه این معناست که کوئری DNS ناموفق بود و پاسخی از سرور به دلیل Policy های مشخص شده داده نشده و سرور از دادن پاسخ خودداری کرده است.رایج ترین حملات DNSحمله DNS TunnelingDNS Tunnelingیکی از حملاتی است که از پروتکل DNS برای انتقال داده های رمزگزاری شده استفاده میکند و نفوذگران میتوانند از این روش، هر اطلاعاتی را از سازمان خارج و یا وارد کنند.همینطور از این حمله جهت اتصال به Command and Control (C&C) و ایجاد یک تونل به داخل شبکه سازمانی شما که ارتباطی با شبکه خارجی ندارد، استفاده میشود.بد افزار ها میتوانند از پروتکل DNS برای دریافت دستورات از C&C و ارسال دیتا به اینترنت، بدون حتی ایجاد یک ارتباط TCP/UDP به یک سرور خارجی، استفاده کنند.پورت پیشفرض DNS پورت شماره 53 هست و تقریبا این پورت روی تمام فایروال ها باز هست که همین موضوع باعث ایجاد حملات زیادی از این سرویس میشود.دی ان اس برای انجام عمل Name Resolution طراحی شده است و نه برای ارسال و دریافت فایل، به همین منظور در شبکه به عنوان یک تهدید در نظر گرفته نمیشود و ممکن است خطرات زیادی را برای سازمان متحمل شود.در این حمله فرد نفوذگر دامنه خود را ایجاد میکند و Name Server های دامنه را سرور خود قرار میدهد و با اینکه درخواست های DNS در فایروال مجاز هستند، نفوذگر از سیستم قربانی با استفاده از دامنه خود دیتا هارا به سمت سرور خود میفرستد.هنگامی که سیستم قربانی سعی در مسیریابی دامنه میکند، یک تونل بین سیستم قربانی و سیستم نفوذگر ایجاد میشود که داده ها را به این صورت ارسال میکنند:داده ها به فورمت [data].example.com فرستاده و دریافت میشوند که در تصویر زیر به صورت کامل نشان داده شده. Basic Nxdomain attackحمله NXdomain نوعی حمله DOS/DDOS است که در آن نفوذگر تعداد زیادی درخواست به دامنه هایی که وجود ندارند ارسال میکند و سرور DNS که چنین رکورد هایی را در خود ندارد، حافظه نهان آن (Cache) کاملا با نتایج NXdomain پر میشود و دیگر به درخواست های معتبر کاربران واقعی شبکه نمیتواند پاسخ بدهد.برای مثال وقتی شما در URL مرورگر خود یک مرورگر با کارکتر های رندوم و بی معنی را وارد میکنید (dslkfjldskjflds.com)، سرور DNS تلاش میکند تا این درخواست را Resolve کند ولی پاسخی برای آن ندارد و این دامنه در رکورد های آن وجود ندارد که در نتیجه پاسخ NXdomain را برمیگرداند.این کار باعث میشود حافظه cache سرور DNS پر بشود و این درخواست با سایر درخواست های DNS پردازش میشود و قدرت پردازش و منابع سرور را مشغول میکند.این حمله در صورتی ممکن است خطرناک شود که درخواست ها توسط تعداد زیادی سیستم انجام بشود و هر سیستم درخواست دامنه های مختلفی را به سمت سرور بفرستد که به حمله DDOS تبدیل میشود و جلوگیری از این حمله سخت تر میشود. Cache poisoningبا تغییر رکورد های DNS Server باعث شویم هنگامی که کاربر وبسایت واقعی و مورد نظر را درخواست میکند، از طرف DNS سرور، وبسایت تقلبی و آنچه که ما در رکورد های DNS تزریق کردیم را نشان دهد.برای مثال آدرس پورتال یک سازمان portal1.com با آیپی 192.168.10.1 هست و فرد نفوذگر با تغییر رکورد آیپی این پورتال به 192.168.10.11 باعث میشود کاربرانی که نام دامنه این پورتال را درخواست میکنند، از طرف DNS Server به سمت پورتال جعلی که نفوذگر مشخص کرده است فرستاده شوند.در این حمله فرد نفوذگر میتواند با هدایت کاربران به سمت یک صفحه Phishing، اطلاعات مهم آنها را به سرقت ببرد. DNS zone transfer vulnerabilityعملی است که یک DNS Server یک کپی از اطلاعات بعضی از رکورد های خود که در دیتابیسش وجود دارد را در یک DNS Server دیگر میریزد.در صورتی که این آسیب پذیری بر روی یک DNS Server وجود داشته باشد، اطلاعات کامل رکوردهایی که شامل subdomain و نام سرویس ها میباشد، در اختیار نفوذگر قرار میگیرد. Rule شناسایی Sigmaسیگما چیست؟سیگما یک پروژه در گیتهاب هست با این آدرس، که در آن میتوانیم rule هایی متناسب با پلتفرم های امنیتی را پیدا کنیم و از آنها برای امن سازی بیشتر استفاده کنیم.رول های SIGMA برای شناسایی حملات DNS که در سایت uncoder.io میتوانیم متناسب با پلتفرم و کوئری که نیاز داریم مثل اسپلانک و ELK ترجمه کنیم و در SIEM ها از آن استفاده کنیم.در ادامه رول های مربوط به آسیب پذیری هایی که در بالا اشاره شد را لینک میکنم:Rule of Possible DNS TunnelingRule of Possible DNS Rebindingدر آخر، ممنون که تا اینجا مطالعه کردی و ممنون میشم اگر نکته ای درباره مطلب بالا بود حتما باهام به اشتراک بزاری.آدرس کانال تلگرام - سعی میکنم موارد مفید در موضوع امنیت رو اونجا پست کنم.

بات نت چیست؟ چگونه تشخیص دهیم و با آن مقابله کنیم؟

محمد حسین نوری — Sat, 20 Nov 2021 23:32:23 +0330

What's BotNetبات نت از ترکیب دو کلمه Robot و Network تشکیل شده است، که به مجموعه سیستم های آنلاینی گفته میشود که توسط یک بد افزار آلوده شده اند و تحت کنترل هکر و صاحب بات نت هستند و همینطور به آنها زامبی هم گفته میشود و صاحب های این سیستم ها از وجود این بدافزار در سیستمشون مطلع نیستند و نمیدانند که سیستمشون نوعی بات هست در بات نت.این شبکه برای اهداف زیادی تشکیل میشود مانند انجام حملات DDOS و حملاتی از این قبیل که نیاز به تعداد زیادی سیستم دارند تا بتوانند عملی شوند.آیا سیستم من هم عضوی از یک بات نت هست؟روش های زیادی برای مقابله با بات نت های معرفی شده است، در ابتدا باید بفهمیم آیا سیستم های ما یک بات در شبکه بات نت هستند یا نه؟یک سری علائم وجود دارد که نشان دهنده این است که سیستم ما آلوده به بد افزاری شده است که مارا تبدیل به یک بات در این شبکه کرده است که این هارا توضیح میدهم.- کندی اینترنت و برنامه هاهمون طور که مشخص شد از بات نت برای انجام یک سری حملات سایبری استفاده میشود که یکی از این حملات، حملات تکذیب سرور توزیع شده هست و این کار به این صورت انجام میشود که هکر یک بات نت را تشکیل میدهد و یا اجاره میکند و با استفاده از بات های این شبکه تعداد زیادی درخواست به سمت سرور قربانی میفرستد تا سرور را از حالت سرویس دهی خارج شود. اگر سیستم ما در این شبکه باشد، باید یک سری درخواست ها را به سرور های مختلف و بقیه جاها ارسال کند که در نتیجه باعث میشود کمی اینترنت کند شود و همینطور در هنگام استفاده از مرورگر هم این کندی قابل مشاهده است.باید همه ترافیک ورودی و خروجی را در زمانی که اینترنت کمی مشغول است و کند است را کنترل کنیم و ببینیم که چه فعالیت هایی در پس زمینه کار در حال انجام است.با وارد شدن در بخش task manager ویندوز، میتوانیم همه پروسس های درحال اجرا را ببینیم و همینطور متوجه بشیم چه برنامه در حال اشغال منابع سیستم ما هست.- خاموش شدن های ناگهانی کامپیوتریکی دیگر از علائم بات بودن سیستم، خاموش شدن ناگهانی و بدون دلیل سیستم ما هست. اگر سیستم مشکل سخت افزاری نداشته باشد و بعضی اوقات خاموش شود و دلیلی برایش نداشته باشیم، میتوانیم این را به عنوان نشانه ای از بات نت در نظر بگیریم.- شناسایی بدافزار توسط آنتی ویروس سیستمتنها در صورتی بات ها در شبکه اضافه میشوند که هکر بتواند بدافزار خود را در سیستم های زیادی اجرا کند. اگر از آنتی ویروس معتبر استفاد میکنیم و آنتی ویروس با اسکن کردن یک بدافزار را شناسایی میکند، میتوانیم این را به عنوان نشانه ای از بات نت بدونیم، و بهتر است سعی کنیم این بدافزار را از بین ببریم و یا دربارش بیشتر تحقیق کنیم.- مشکل در دانلود آپدیت سیستم عاملاگر که نتوانستید سیستم عامل خودتون رو آپدیت کنید این میتونه یکی از علائم بات نت باشد. آپدیت های سیستم عامل ها شامل پچ های امنیتی هست که ممکن است بر علیه آن بدافزار باشد و بدافزار طوری طراحی شده است که نگذارد شما سیستم عاملات را آپدیت کنید و این تنها برای حفظ دسترسی شبکه به سیستم شما است.تهدیدات بات نت ها DDOS Attackحملات منع سرویس توزیع شده DDOSیکی از شایع ترین حملات سایبری حملات منع سرویس یا Denial of Service هست که در این حمله، هکر با ارسال تعداد بسیار زیادی درخواست به یک سرور، باعث مشغول شدن منابع اون سرور میشود و سرور مشغول سرویس دهی به این درخواست ها میشود و به دیگر کاربران نمیتواند پاسخ درخواستشان را بدهد و به اصطلاح آن سرور Down میشود و قادر به سرویس دهی به کاربرانش نیست.زمانی که این حمله از طرف یک سیستم انجام شود به آن Dos گفته میشود ولی جلوگیری از این حمله بسیار آسان است و فقط کافی است که آیپی سیستمی که درخواست های زیادی را در حال ارسال است را مسدود کنیم و به صورت کلی جلوی این حمله را میگیریم.در کنار این حمله، حمله گسترده تری هم وجود دارد به نام DDOS یا Distributed Denial Of Service که به فارسی میتونیم حملات منع سرویس توزیع شده ترجمه کنیم.این حملات گستردگی خیلی بیشتری دارند و شبیه حمله DOS هست ولی با این تفاوت که بسیار خطرناک تر از آن است و جلوگیری از این حمله کار دشواری است و در این حمله از یک سیستم برای مشغول کردن یک سرور استفاده نمیشود و از تعداد سیستم های زیادی برای این کار استفاده میشود.هکر از بات نتی که تشکیل داده است که DosBot هم میشناسند، معمولا برای این حملات استفاده میکند و حمله را گسترده ترانجام میدهد; یعنی برای انجام حمله به سمت یک هدف، به زامبی ها و بات هایی که در شبکه اش هستند، دستور میدهد که سر تاریخ مشخصی به تارگت مشخص درخواست های مربوط را میفرستند.این حمله از این لحاظ بسیار خطرناک است که شما فرض کنید تعداد بسیار زیادی از درخواست هارا به سمت سرور خودتون دارید و نمیتوانید همه آن درخواست هارا از بین ببرید و منشا این حملات هم مشخص نمیشود تقریبا، یعنی چه کسی این بات نت را تشکیل داده است و از کجا این حملات در حال انجام است.برای جلوگیری از این حملات میتوانیم از سرویس های Anti-DDOS استفاده کنیم که برخی شرکت های امنیتی ارائه میکنند که معروف ترین این شرکت ها Cloud flare هست. میتوانیم از فایروال های سخت افزاری و نرم افزاری در شبکه استفاده کنیم و همینطور باید یک پلن برای زمان وقوع حمله آماده کنیم تا زمانی که این اتفاق افتاد بتوانیم این حملات را تا حدی کنترل کنیم. استفاده از کد های کپچا در صورت دیدن ترافیک های زیاد و عجیب از یک سیستم هم تا حد قابل توجهی میتواند از حملات را کنترل کند.ارسال ایمیل های Spamارسال ایمیل های اسپم یا Spamming و بات نتی که این کار را انجام میدهد به SpamBotمعروف است. کار این اسپم بات ها این است که آدرس های ایمیل را جمع آوری میکنند و ایمیل های اسپم را پخش میکنند. که از رایج ترین و ساده ترین استفاده ها از بات نت است. به این صورت است که از کامپیوتر های آلوده میلیون ها پیام در بازه زمانی مشخصی ارسال میشود.برای جلوگیری از بات نت، باید مواردی که بالا گفته شد را رعایت کرد و همینطور باید همیشه سیستم را آپدیت نگه داشت. مانیتور کردن تمام پروسس های سیستم و همینطور نتورک سیستم مهم ترین کار برای تشخیص و مقابله هست. استفاده از نرم افزار های امنیتی مثل آنتی ویروس برای اسکن همه برنامه ها ممکن است به محض ورود بدافزار به سیستم آن را شناسایی و نابود کند.این مطلب به صورت مداوم آپدیت خواهد شد و اگر نظری داشتید خوشحال میشم با من در قسمت کامنت ها در میون بذارید.اینستاگرام من توئیتر من

آسیب پذیری XSS چیست؟ راه های مقابله با باگ XSS

محمد حسین نوری — Mon, 15 Nov 2021 16:43:54 +0330

باگ XSS یا Cross Site Scripting از رایج ترین آسیب پذیری های سطح وب است که در این حملات هکر و نفوذگر، کاربران یک وبسایت را با تزریق کد های جاوااسکریپ مورد هدف قرار میدهند.این آسیب پذیری در صورتی به وجود می آید که برنامه نویس یک وبسایت، ورودی هایی که از کاربرانخودش میگیرد را کنترل نکند و این اجازه را به کاربران بدهد تا هر کارکتر و هر ورودی که بخواهند واردکنند، برای مثال برای فیلد ورود نام و نام خانوادگی فیلتری در نظر نمیگیرند و هکر از این ضعف امنیتی استفاده میکند تا حملات XSS را روی آن وبسایت پیاده سازی کند.هکر میتواند از این آسیب پذیری استفاده های زیادی کند، برای مثال یک تروجان روی وبسایت ایجاد کند و یا سشن ها و کوکی های کاربران دیگر را به سرقت ببرد! و این کار هم به سادگی انجام میگیرد، چون کاربران به یک وبسایت اعتماد دارند، ولی نمیداند در پشت پرده یک سری کد هایی تزریق شده که در حال سرقت کوکی آنها هست.که همینطور که مشخص شد این حمله از خطرناک ترین حمله ها هم هست و برای شرکت های بزرگ که اعتبار زیادی دارند یک نوع تهدید بزرگ به شمار میاد.با توجه به ورودی های زیادی که بیشتر وبسایت ها از کاربران خودشون دریافت میکنن، میتونیم به این نتیجه برسیم که XSS تقریبا همه جا هست! فقط باید با توجه به آشنایی که با این آسیب پذیری داریم سعی کنیم در فیلد های ورودی وبسایت ها تست نفوذ انجام دهیم و اون هارو پیدا کنیم.Cross site Scriptingحملات XSS چگونه انجام میشوند؟فرض کنید وبسایت از شما نامتان را دریافت میکند و بعد به صورت یک پیام در صفحه به شما (اسم شما) خوش آمد میگوید. و متوجه میشویم که هرچه به صورت ورودی داده ایم را در خروجی چاپ کرده است و کنترلی روش نداشته است و همینطور کدی که برای بک اند نوشته به این صورت است:کد PHP که در بک اند وبسایت برای نمایش اسم در صفحه نوشته شده استو متغیر inputName اسمی که وارد کردیم از فیلد ورودی نام را در خودش دارد و خروجی را در صفحه به این شکل نشان میدهد:خروجی کد بالا که در صفحه به کاربر نمایش داده میشوددر نتیجه این کد که HTML است به مرورگر کاربر داده میشود و در صفحه نتیجه را نشان میدهد.این کد خروجی کد PHP هست که به صورت HTML در صفحه نمایش میدهدو حالا هکر با بررسی هایی که انجام داده میخواهد تست انجام بدهد که آیا این فیلد ورودی و این صفحه آسیب پذیری XSS دارد یا نه؟!برای این کار یک قطعه کد جاوااسکریپی را در آن فیلد وردی وارد میکند تا مطمئن شود که این صفحه آسیب پذیر است و معمولا هکر ها برای این کار از این قطعه کد استفاده میکنند:این کد یک هشدار در صفحه را نمایش میدهد این کد برای دادن هشدار هست و مقداری که در داخلش نوشته باشد را به عنوان پیامی در بالای صفحه به کاربر نشان میدهد، و وقتی این مقدار را در فیلد ورودی بنویسیم کد PHP به این تغییر میکند:کد جاوااسکریپت ما که با کد پی اچ پی ترکیب شده استو این کد در HTML و مرورگر کاربر به این شکل نشان داده میشود:خروجی کد PHP که در صفحه نمایش داده میشودو در نهایت وقتی که پیامی که در بالا مشخص کردیم را در غالب یک مسیج باکس دیدیم، متوجه میشویم که تونستیم کد های جاوااسکریپتی را اجرا کنیم و کد های ما به درستی اجرا شده اند، مثل این تصویر:خروجی کد جاوا اسکریپت که از طریق ورودی نام وارد کردیم و در صفحه به درستی اجرا شده استاین فقط یک مثال ساده از این آسیب پذیری بود، در ادامه با استفاده از محیط آزمایشگاهی این آسیب پذیری را شبیه سازی میکنم تا این آسیب پذیری را در دنیای واقعی بیشتر درک کنید.Reflected XssXSS Reflectedاین مثال XSS از نوع Reflected را با این سناریو پیش میریم که فرض کنید یک وبسایت در قسمت سرچ محصولات و یا هر چیزی، هر فیلدی که سرچ میشود را در URL نشان میدهد :https:// website.com/search?term=giftو همینطور مواردی که از نتیجه سرچ بدست آمده را در صفحه با این عنوان نمایش میدهد:

You searched for: gift

و حالا ما متوجه شدیم که فیلتری برای ورودی هایی که در قسمت سرچ میگیرد ندارد و هرچیزی که بنویسیم را در کد ها چاپ میکند و باید کد های جاوااسکریپت را وارد کنیم و تست کنیم:https:// website.com/search?term=alert(1)و کد جاوا اسکریپتی ما اگر اجرا شود متوجه میشویم که صفحه آسیب پذیری را دارد.حالا همین سناریو را در یک محیط آزمایشگاهی شبیه سازی و پیاده سازی میکنیم.وبسایت زیر یک بخش سرچ دارد که در مطالبی که در این بلاگ منتشر شده است کلید واژه ای که وارد کنیم را سرچ میکند.صفحه اصلی یک وبلاگ که در بالای صفحه قسمت سرچ وجود داردوقتی که من کلمه hi را سرچ کردم، هم در URL و هم در صفحه این عبارت را نشاند میدهد:خروجی به دست آمده از کلمه hiو همینطور در سورس کد هم عبارتی که سرچ کردم قابل مشاهده است:در سورس صفحه هم کلمه ای که سرچ کردیم را نمایش میدهدالان باید با دستورات جاوااسکریپتی سعی کنم که مطمئن بشم اسکریپت های من اجرا میشوند، من دستور زیر را در فیلد سرچ وارد میکنم:alert("Hacked By MHN")عبارتی که سرچ کردم شامل کد های جاوااسکریپتی بود و در URL اینطور نمایش درآمد:آدرس اینترنتی زمانی که ما کد و یا چیزی را سرچ کردیمو همینطور کد اسکریپتی من در سورس کد این صفحه اضافه شد و به صورت یک قطعه کد جاوااسکریپتی ران شد و درصفحه یک مسیج باک با عنوانی که وارد کردم به نمایش درآمد:کد ما اجرا شده و در صفحه یک مسیج باکس را میتونیم ببینیمکد ما در سورس سایت به صورت کد های جاوا اسکریپ اجرا شده استXSS Storedدر این سناریو که قراره نوع دوم این آسیب پذیری یعنی XSSاز نوع Storedرو پیاده سازی کنیم، رویهمان بلاگ ولی این بار در قسمت کامنت های یک پست از این وبسایت.XSS Stored زمانی اتفاق میوفتد که یک فیلد وقتی ورودی را دریافت میکند آن را در صفحه نمایش میدهد و اگر این ورودی هارا نتواند کنترل کند و ما بتوانیم کد های جاوااسکریپتی خودمان را وارد کنیم، کد ما در آن بخش ذخیره خواهد شد وهمیشه ماندگار میماند برای مثال بخش کامنت یک وبسایت که وقتی ما کدی آنجا تزریق کنیم در آن بخش میماند و هرکسی که وارد آن صفحه شود کد ما روی مرورگر آن اجرا میشود و میتواند خیلی خطرناک باشد.وارد یک پست از این بلاگ میشوم و با اسکرول کردن قسمت کامنت گذاری در این صفحه را پیدا:بخش کامنت در وبسایتو باید کد های جاوااسکریپتی خودم را برای تست وارد کنم تا متوجه وجود این آسیب پذیری شوم:مقادیر دلخواه را وارد میکنم تا تست کنم که آیا آسیب پذیر هستبا این پیغام از طرف وبسایت متوجه این میشویم که دستوری که وارد کردیم بدون هیچ مشکلی انجام شده و بدون ارور کامنت ما در پست قرار گرفت.وقتی وارد صفحه ای شویم که کامنت گذاشتیم، این پیام را میبینیموقتی وارد صفحه ای که کامنت گذاشتم میشوم:و به این معناست که کد ما در سورس کد وارد شده است و هر بار که وارد این صفحه بشویم کد های جاوااسکریپی ما اجرا میشود و نه تنها ما بلکه هر یوزری وارد این صفحه شود کد های ما در سیستم آن هم اجرا خواهد شد.کد جاوااسکریپ ما در سورس به همین صورت اضافه شده اندتا اینجا با انواع حملات XSS آشنا شدیم و با دو سناریو ساده کمی درک کنیم این آسیب پذیری را .از XSS برای چه چیز هایی میتوانیم استفاده کنیم؟اطلاعات ورودی کاربران را مثل Cookie و Session ضبط کنیم.قابلیت های تروجان و بد افزار ها را در وبسایت پیاده کنیم، مانند استفاده Key Logger در صفحه.Home page کاربر و وبسایت را تغییر بدهیم و دیفیس کنیم.جعل هویت کنیم و به عنوان کاربران وبسایت لاگین کنیم.Prevent XSS Attackچگونه از حملات XSSجلوگیری کنیم؟این آسیب پذیری تقریبا از سال 2017 وارد لیست Owasp Top 10 شده که اهمیت وخطرناک بودن این باگ رو به خوبی نشون میدهد.و باید با یک سری راهکار سعی کنیم جلوی این حملات را بگیریم و البته صرفا رعایتکردن این نکات امنیت را صد درصد تکمیل نمیکند ولی تا حد خوبی وبسایت را ایمنمیکند.فیلتر کردن ورودی هایی که از کاربران دریافت میکنید قبل از گذاشتن در المنت های HTMLقبل از نشان دادن مقادیری که کاربر وارد کرده است میتوانیم آن مقادیر را به صورت Scapeدربیاوریم، با اینکار باعث میشویم که مرورگر دستورات HTML را به عنوان دستورات HTMLنشناسد و به صورت یک متن ساده نمایش دهد و اجرا نشود.با استفاده از توابع htmlspecialchars خروجی خود را فیلتر میکنیم.آدرس های اینترنتی(URL) مشکوک را فیلتر کنید.ایمن کردن کوکی هاهمونطور که گفتم که هکر از این آسیب پذیری میتواند برای سرقت نشست ها و کوکی های کاربراناستفاده کند، و بهترین راه برای مقابله با این موضوع، باید از کوکی های HttpOnlyاستفاده کرد کهفقط توسط مرورگر ارسال و دریافت شود و کسی با جاوااسکریپت نتواند آن را تغییر دهد.در نهایت XSSفقط نشان دادن یک هشدار در صفحه نیست، و ممکن است عواقب خیلی زیادی در پی داشته باشد و با اینکه ارتباط مستقیم با دیتابیس ندارد و خیلی از مدیر های وبسایت ها ممکن است نادیده بگیرند این باگ رو، اما این آسیب پذیری چند سالی هست که جزو ده آسیب پذیری سال از طرف مجموعه OWASP معرفی شده است و همچنین خطرات خیلی زیادی برای یک وبسایت و همچنین شهرت وبسایت دارد و به طور مستقیم کاربر های یک وبسایت رو مورد حمله قرار میدهد.راهکار های زیادی برای مقابله با این آسیب پذیری وجود دارد که بسته به دانش توسعه دهنده و برنامه نویس یک وبسایت ممکن است متفاوت باشد و اصلی ترین کار این هست که ورودی هارا با دقت فیلتر کنیم تا عباراتی که کاربران وارد میکنند کنترل شود و جلوی حملات را گرفت .البته که بیشتر راهکار ها با وجود بالا بودن سطح امنیتی، امنیت وبسایت را 0 تامین نمیکنند و طی زمان های مشخص و با استفاده از روش های متنوعی مثل استفاده از اسکنر های امنیتی مثل Acunetix و Netsparker و BurpSuite وبسایت را از لحاظ امنیتی بسنجیم و سعی کنیم مواردی که گزارش شده اند را به صورت خیلی جدی پچ کنیم.این مطلب به صورت مداوم آپدیت خواهد شد و اگر نظری داشتید خوشحال میشم با من در قسمت کامنت ها در میون بذارید.پیج اینستاگرام من رو هم از اینجا میتونید دنبال کنید.