Login
Nome utente:

Password:

Ricorda



Recupero password

Registrati!
Navigazione
Utenti Online
12 utente(i) online
(1 utente(i) in Tutorial)

Iscritti: 0
Ospiti: 12

altro...
Tutorial :: Sicurezza

Uso del Protector


Uso del Protector
Defkon1
Creare un buon portale è complesso, ma mai quanto proteggerlo.
Vediamo come possiamo farci aiutare da quest'ottimo modulo, analizzando una per una le possibili tecniche d'attacco e le relative reazioni.
Intestazione
  1. 1. Funzionalità del Protector
Profilo Autore: Defkon1
Ingegnere informatico da anni impegnato nella comunità opensource.

Al momento è Webmaster del portale XoopsItalia.

Una delle risorse più importanti nel vasto mondo dei moduli per Xoops, è sicuramente il modulo Protector, sviluppato e mantenuto da Mineaki Gotoh, alias GIJOE.

Questo modulo nasce dall'ampliamento dell'ormai antiquato AntiDos-P, che forniva protezione contro gli attacchi di tipo Denial of Service, ed offre copertura pressoché completa verso minacce generiche e minacce specifiche contro Xoops.


Al momento in cui scrivo questo documento, la versione stabile più aggiornata del Protector è la 2.55, scaricabile da www.peak.ne.jp/xoops, disponibile sia in zip, sia in tgz. All'interno del pack troverete già la traduzione in italiano scritta dal sottoscritto.



1. Funzionalità del Protector

Il modulo intercetta e reagisce ai seguenti tipi di attacchi:


Denial of Service (DoS)

In cosa consiste

Un attacco DoS punta a saturare le capacità di connessione di un server

Come viene portato

Una tipologia classica di attacco DoS consiste nel continuo caricamento di porzioni del portale, costringendo il server ad un lavoro continuativo per soddisfare le richieste

Come reagisce il modulo

Il Protector è in grado di valutare con che frequenza viene richiesto l'aggiornamento delle stesse pagine del portale, tramite tempo e numero di reload.

Una volta riconosciuto l'attacco come DoS può reagire fornendo all'IP attaccante:
- una pagina contenente solo il blocco di login

- nulla, come se il portale fosse scomparso

- una pagina vuota (schermata bianca)

oppure può direttamente inserire l'IP nell'elenco degli esclusi (ban dell'IP)

Inoltre nelle recenti versioni del modulo è possibile negare l'accesso al portale tramite utilizzo del file .htaccess, ma questa funzionalità è ancora a livello sperimentale.

Alcuni moduli, come ad esempio i moduli chat, hanno però bisogno di essere aggiornati frequentemente dai browser degli utenti, per seguire il continuo flusso informativo che viene modificato. Per evitare che gli utenti che utilizzano tali moduli vengano tacciati come attaccanti è possibile indicare quali moduli escludere dal controllo anti-DoS.


Bad Crawlers

In cosa consiste

Un Crawler è un motore di indicizzazione e di collezione di informazioni (ad esempio e-mail postate in un forum a scopo spam)

Come viene portato

Un Crawler diventa “maleducato” (bad crawler) quando accede troppo frequentemente al portale

Come reagisce il modulo

Il Protector applica ai crawler gli stessi criteri visti per i DoS. Quando appura che il crawler è maleducato può reagire con:

- una pagina contenente solo il blocco di login

- nulla, come se il portale fosse scomparso

- una pagina vuota (schermata bianca)

- ban dell'IP

- blocco da .htaccess (sperimentale)

E' comunque possibile specificare tramite regex quali bot e crawler non considerare mai come maleducati (google, yahoo,...).

SQL Injection

In cosa consiste

L'agente attaccante tenta di operare query sul database iniettandole via browser

Come viene portato

Approfittando magari di codice scritto in modo poco attento, oppure sfruttando vere e proprie vulnerabilità di moduli sensibili.

Come reagisce il modulo

Un portale database-driven come Xoops deve prestare molta attenzione agli attacchi di questo tipo, pena la possibile ed irrimediabile corruzione della base di dati. Proprio per questa particolare necessità di sicurezza, il Protector è in grado di bloccare tre diversi tipi di attacco SQL injection:

- rilevazione di commento isolato

- rilevazione di sintassi UNION

- specificazione di campi chiave non interi

Le prime due tipologie, se utilizzate a dovere, potrebbero permettere all'attaccante di “agganciare” proprie query a quelle normalmente utilizzate dal portale. Il Protector può reagire nei seguenti modi:

- fornire una pagina con il solo blocco login

- sterilizzazione

- fornire pagina vuota

- ban dell'IP


Il terzo tipo di attacco può essere bloccato chiedendo al Protector di forzare il trattamento di ogni campo chiave (*id) delle query SQL come campi integer. Questa funzione può però creare problemi con alcuni moduli.


XSS (Cross Site Scripting)

In cosa consiste

Un attacco Cross Site Scripting (abbreviato XSS, per non essere confuso in CSS – Cascade Styling Sheets) è simile per natura agli attacchi SQL injection, puntando ad iniettare script arbitrari.

Come viene portato

Gli attacchi XSS possono essere portati nei modi più disparati e sfruttando le vulnerabilità di vari linguaggi (HTML, JavaScript, Flash,...). Nella maggior parte dei casi sono comunque gli stessi sviluppatori che offrono il fianco agli attacchi non progettando correttamente le loro applicazioni.

Come reagisce il modulo

Essendo un tipo di attacco estremamente vario e difficile da bloccare, l'unica vera difesa è utilizzare moduli testati, stabili e sicuri, sviluppati da team di riconosciuta affidabilità e serietà.

Il Protector infatti, pur essendo un modulo particolarmente potente, è in grado di interecettare solo una minima parte di questi attacchi, mediante il trattamente dei campi chiave come interi (vedi attacchi SQL Injection).


Contaminazione delle Variabili Globali

In cosa consiste

Consiste nell'ottenimento di particolari risultati (corruzione dei dati, ottenimento di privilegi da amministratore,...) mediante la corruzione dei dati contenuti nelle variabili globali.

Come viene portato

Modificando lato utente il contenuto delle proprietà degli oggetti e delle variabili globali.

Come reagisce il modulo

Il modulo può reagire con:

- pagina contenente il solo login

- pagina vuota

- ban dell'IP


Hi-Jacking della sessione

In cosa consiste

Consiste nell'utilizzo delle vostre credenziali specificate nella vostra sessione utente da parte di un agente attaccante.

Come viene portato

Attraverso il dirottamento della sessione utente su un altro IP

Come reagisce il modulo

Il modulo impedisce il dirottamento proteggendo i bit dell'IP registrato nella sessione utente. E' possibile inoltre indicare quali gruppi non sono autorizzati a spostare il proprio IP in una sessione.


Caratteri nulli (Null-Bytes)

In cosa consiste

Il carattere di terminazione “\0” viene utilizzato spesso in diversi tipi di attacchi.

Come viene portato

Iniettando a dovere un carattere nullo è possibile avere diversi risultati, come la terminazione di una funzione o processo, o addirittura può permettere l'esecuzione di codice arbitrario non controllato.

Come reagisce il modulo

Il modulo può sterilizzare un carattere nullo sostituendolo con uno spazio.


Attraversamento delle directory (Directory Traversal)

In cosa consiste

Noto anche come “Scalata delle directory”, consiste nell'accedere a file e directory non protetti.

Come viene portato

Sfruttando una cattiva progettazione/programmazione l'attaccante riesce a risalire l'albero delle directory fino ad accedere a contenuti che avrebbero dovuto essere protetti (cartelle eseguibili, cache,...)

Come reagisce il modulo

Il modulo reagisce eliminando i path di risalita (“../”) nelle richieste che sembrano specificare file ben precisi.


CSRF (Cross Site Request Forgeries)

In cosa consiste

Consiste nell'invio di richieste HTTP arbitrarie

Come viene portato

L'attaccante invia HTTP request arbitrarie con le credenziali di un ignaro utente, rendendo molto complessa l'identificazione dell'attacco.

Come reagisce il modulo

Il modulo chiude le falle che permettevano alcuni attacchi CSRF in Xoops 2.0.9.2.


Forza Bruta

In cosa consiste

Consiste nell'individuazione della password di un utente mediante tentativi continui.

Come viene portato

L'agente attaccante con uno script ad hoc genera tutte le possibili password alfanumeriche e le inserisce nel form di login, fino ad individuare quella corretta.

Come reagisce il modulo

Il modulo stabilisce una numero massimo di tentativi di login effettuabili nell'arco di dieci minuti. Superata tale soglia l'IP viene espulso.


Invio di file eseguibili o camuffati (== IE Content-Type XSS)

In cosa consiste

Consiste nell'esecuzione di script arbitrari contenuti in file inviati dall'attaccante.

Come viene portato

L'agente attaccante invia file contenenti script in moduli con funzionalità di upload al fine di poterli eseguire.

Come reagisce il modulo

L'invio di file pericolosi (ad esempio eseguibili o con estensione .php) comporta la chiusura del portale.


XMLRPC

In cosa consiste

Consiste nell'esecuzione di script arbitrari sfruttando alcune vulnerabilità strutturali del protocollo XMLRPC.

Come viene portato

Alcune funzioni XMLRPC (come la eval()) si prestano ad attacchi basati sull'iniezione ed esecuzione di codice arbitrario non controllabile.

Come reagisce il modulo

Il Protector può disabilitare l'utilizzo di tali funzioni.


Pagine:
(1) 2 »
<< Trasferire XOOPS Installazione del Protector 3.x+ >>
API: RSS | RDF | ATOM
Copyright© Defkon1 & Xoops Italia
I commenti sono di proprietà degli autori. Si declina ogni responsibilità sul loro contenuto.

Autore Contenuto
Anonymous
Data di invio: 17/7/2012 3:05  Aggiornato: 17/7/2012 3:05
 Re: Uso del Protector
The centerpiece is going to be the star, however the smaller additions which will make enable allow it to be search actually unique. Linked Protection The gown, site, day and band are a few with the critical elements of most wedding ceremony receptions cheap white one shoulder dresses cheap white one shoulder dresses . All of the energy and preparing that goes right into a marriage ceremony day is often overpowering discounted designer dresses discounted designer dresses . You wish every thing for being excellent lace bridal dresses lace bridal dresses . modest prom dresses modest prom dresses One particular component of the marriage ceremony reception that usually gives a terrific prospect for that bride and groom to attach with their friends would be the table centerpieces flower dress for girls flower dress for girls . spring dress spring dress There are many important components to do The wedding ceremony centerpiece would be the something that offers pause as company enter the reception region. Typically the centerpiece is among the most visually appealing component within the space Visualizza immagine originale . vintage evening dresses vintage evening dresses

Autore Contenuto
Anonymous
Data di invio: 17/7/2012 3:06  Aggiornato: 17/7/2012 3:06
 Re: Uso del Protector
existence Visualizza immagine originale . It's very significant to decide on an ideal centrepiece in your guests' tables simply because it'll be the middle of consideration or perhaps the subject of discussion whilst the visitors are waiting around for his or her food items to get there mother to be dresses mother to be dresses . That can help you choose which centrepiece is ideal for the winter season marriage ceremony, toddler bridal dresses toddler bridal dresses the following are a few guidelines and tips. Wreaths really are a amazing symbol for your period and make lovely centerpieces. Include your own personal specific contact with holly wedding gowns bridesmaid dresses wedding gowns bridesmaid dresses , mistletoe, ivy and also other Xmas goods that suit your concept. I really like the concept plus size cocktail dresses for women plus size cocktail dresses for women large size party dresses large size party dresses prom dress prom dress , with smaller evergreen trees, possibly actual or in any other case dresses for the brides mother dresses for the brides mother . Hang tiny ornaments on it and I want to invite hang little wrapped candy canes of various tastes and friends, to own and revel in. A

Autore Contenuto
huff01
Data di invio: 5/9/2012 11:19  Aggiornato: 5/9/2012 11:19
Senior
Iscritto: 5/9/2012
Da:
Inviati: 164
 replicawatches
not stray significantly from your key layout capabilities with the relaxation from the timepieces offered by this manufacturer Breitling Cockpit Lady watches Breitling Cockpit Lady watches , fake armani fake armani rolex fake rolex fake and it encompasses a spherical stainless-steel scenario, an incredibly easy dial and clearly an easy matching strap fake watches for men fake watches for men. The stainless-steel instance with the STOWA Flieger Automated Observe actions forty mm in diameter, armani swiss watch armani swiss watch currently being specifically developed for gents. The proportion in the situation hints into a masculine sporty look that's essentially softened from the slimness of your situation, getting only ten. twenty thick. Similar to one other watches introduced by STOWA this just one as well embraces a discreet appearance, having a black dial that includes Arabic numerals to point the hrs and blue metal palms Breitling Aerospace watches Breitling Aerospace watches , replicawatches replicawatches swiss emporio armani fake watch swiss emporio armani fake watch every single detailing from this view becoming luminescent coated. Visualizza immagine originale fake swiss audemars piguet watch fake swiss audemars piguet watch The reality that the

Autore Contenuto
huff01
Data di invio: 12/9/2012 2:40  Aggiornato: 12/9/2012 2:40
Senior
Iscritto: 5/9/2012
Da:
Inviati: 164
 replica longines watches
u boat replica watches u boat replica watches , Politbureau member, State Council VicePremier Li Keqiang, Politbureau member, Central Discipline inspection commission Secretary He Guoqiang, Politbureau member, central politics and law committee Secretary Zhou Yongkang replica panerai replica panerai replica tag heuer watches replica tag heuer watches , on 10th participated in 11 National People's Congress two conference some delegation's consideration separately in the morning. time loans third anniversary foreword Buffett to go out crisis AIG bell ross replica bell ross replica : chopard replica watches chopard replica watches fake rolex watchs fake rolex watchs cheap fake watches cheap fake watches Tumbles giant The State Council deploys the vegetables reserve Development and Planning Commission ferments to release the lowcarbon standard as soon as possible Bank charge innovation quickest in September appears The national territory department will announce the idle land treatment opinion The broad electricity bureau arranges the statelevel broad electric network company Country US Visualizza immagine originale
Sostieni XoopsItalia!
Ultimi Tutorial
Ultime Traduzioni
XOOPS ITALIA © 2002-2012 - Powered by XOOPS