همه آموزش ها با 50 درصد تخفیف تو جشنواره بهاره توسینسو
50 درصد تخفیف
مانده تا پایان تخفیف ها
مانده تا پایان تخفیف ها
محمد نصیری
محمد نصیری
بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

Misconfiguration Attack چیست؟ معرفی حملات هکری به تنظیمات اشتباه

پیکربندی های اشتباه یا پیکربندی های پیشفرض از انواع نقاط ضعف امنیتی رمز پیشرض روتر هستند که در بسیاری از نرم افزارها و سخت افزارها وجود دارند و هکرها می توانند از آنها استفاده و به سیستم شما نفوذ کنند. این نوع آسیب پذیری ها بیشتر در انواع و اقسام وب سرورها ، Application ها ، پایگاه های داده و Framework ها و حتی سخت افزارهایی که بصورت پیشفرض و بدون دید امنیتی نصب می شوند وجود دارد و در نهایت می تواند به هکر اجازه نفوذ و در اختیار گرفتن اطلاعات را منجر شود.

دوره های شبکه، برنامه نویسی، مجازی سازی، امنیت، نفوذ و ... با برترین های ایران
برای مشاهده تخفیف های ویژه امروز کلیک کنید

زمانیکه پیکربندی های یک سیستم یا یک فایل تغییر می کند و تغییراتی در آن حاصل می شود دیگر نمی توانیم به آن فایل یک فایل امن بگوییم. مدیران شبکه بایستی قبل از اینکه هر دستگاه یا نرم افزار یا سرویسی را در شبکه نصب و راه اندازی کنند در خصوص تنظیمات و پیکربندی های پیشفرض باید اطلاعاتی داشته باشند و آن سیستم مورد نظر را حتما امن کنند. برای امن کردن تجهیزات ، سرویس ها ، بستر ها و Platform ها همیشه فراموش نکنید که هیچ چیزی را بصورت پیشفرض در شبکه یا نرم افزارهای خودتان پیکربندی نکنید. به Misconfiguration Attacks به عنوان Default Configuration Attacks هم اطلاق می شود.

Lyncsys

برای اینکه درک بهتری از حملات ناشی از پیکربندی اشتباه یا Default Configuration داشته باشید با چند مثال مبحث را بیشتر توضیح می دهیم ، حتما اطلاع دارید که بسیاری از روترها و اکسس پوینت های وایرلسی که در منازل و چه بسا شرکت ها استفاده می شوند دارای پسورد admin و کاربر admin هستند ، برخی از دوربین های مدار بسته هم دارای پسوردهای پیشفرض هستند ، تجهیزات امنیتی بسیار زیادی هستند که شما باید در هنگام نصب رمز عبور و نام کاربری آنها را تغییر بدهید .

اگر اینکار را نکنید اولین چیزی که توسط یک هکر آزمایش می شود رمز عبور های پیشفرض است ، حتما قرار نیست حملات داخلی انجام شود ، کافیست هکر پورت شماره 80 آدرس های IP معتبر اینترنت را اسکن کند و هرجا دید پورت مورد نظر باز است و یک روتر پشت آدرس IP است می تواند با پسورد پیشفرض وارد روتر و شبکه داخلی شما شود. وجود کاربران پیشفرض با اسامی مشخص ، سرویس ها و قابلیت های بلا استفاده ، اجازه و سطوح دسترسی اشتباه به فایل های مشکل دار و ... همگی می توانند نمونه از ای مشکلات ناشی از Default Configuration یا Misconfiguration Attacks باشند.

معرفی انواع حملات ناشی از پیکربندی اشتباه یا Misconfiguration Attacks

از تجهیزات سخت افزاری که بگذریم به سراغ خودمان برویم ، عادت کرده ایم زمانیکه به ما می گویند SQL سرور نصب کنید یا IIS یا Apache نصب کنید ، بدون توجه به اینکه نیاز ما از نصب این نرم افزارها چیست همه تیک ها یا همه ماژول های این نرم افزارها را انتخاب می کنیم که احیانا بعدا مشکلی نداشته باشیم ، بدون توجه به اینکه بعد ها ممکن است از طریق همین ماژول های اضافه بدون استفاده به ما نفوذ شود. وقتی IIS را نصب می کنیم چه نیازی است که شما پروتکل ASP قدیمی یا CGI منسوخ شده را هم نصب کنید ؟

در هنگام استفاده از SQL سرور بصورت Local چه نیازی به نصب و استفاده از سرویس SQL Browser وجود دارد که یک سرویس شبکه ای است ؟ در هنگام نصب کردن سرور آپاچی چه نیازی است که برخی از ماژول های داخلی ما که اصلا نباید فعال باشند، فعال باشند؟ ما بارها با استفاده از همین تنظیمات پیشفرض در بسیاری از پروژه های تست نفوذ سنجی حملات خود را به سرانجام رسانیده ایم ، برای اینکه مثال عملی تری داشته باشید به سراغ دو مثال از آپاچی وب سرور می رویم ، به مثال زیر توجه کنید در فایل php.ini ای که در وب سرور آپاچی و سرویس php وجود دارد قسمتی به شکل زیر وجود دارد : 

expose_php = 'on'

در حالت بالا با توجه به اینکه expose__php در حالت فعال یا روشن قرار دارد اگر درخواستی مبنی بر نمایش نسخه php مورد استفاده در وب سرور به آن ارسال شود دقیقا نسخه مورد استفاده در وب سرور را گزارش می کند ، اینکار یعنی اطلاعات وب سرور و نوع نسخه php به شدت به هکر در جهت هدفمند کردن حملات خودش کمک می کند ، شما به عنوان مدیر امنیت بایستی این حالت پیشفرض را عوض کرده و در حالت off قرار بدهید تا پاسخی به مهاجم داده نشود. یا در مثال پایین شما قسمتی از محتویات فایل http.conf را مشاهده می کنید : 

SetHandler server-status

تنظیمات بالا به هکر اجازه می دهد که بتواند محتویات صفحه status page وب سرور را مشاهده کند که از نظر امنیتی بسیار مشکل ساز است. حتی وجود sample file ها و فایل های backup هم در این قسمت از وب سرور می تواند مشکل ساز شود. برخی اوقات سهل انگاری یک مدیر سیستم باعث می شود اطلاعات حساسی افشا شود ، زمانیکه شما به گوگل اجازه Crawl کردن صفحات حیاتی و امنیتی را می دهید ممکن است این صفحات توسط یک هکر شناسایی و به این فایل ها دسترسی داده شود و یا اینکه ممکن است به فایل های حیاتی وب سرور دسترسی های اضافه داده شود که باعث نفوذ و دسترسی غیرمجاز هکر شود. اینها همگی ناشی از توجه نکردن به تنظیمات پیشفرض و عوض نکردن آنها است. امیدوارم مورد توجه شما قرار گرفته باشد. ITPRO باشید

نویسنده : محمد نصیری
منبع : انجمن تخصصی فناوری اطلاعات ایران
هرگونه نشر و کپی برداری بدون ذکر منبع و نام نویسنده دارای اشکال اخلاقی می باشد

0 5
محمد نصیری
محمد نصیری

بنیانگذار انجمن تخصصی فناوری اطلاعات ایران ، هکر کلاه خاکستری ، کارشناس امنیت اطلاعات و ارتباطات

محمد نصیری هستم ، هکر قانونمند و کارشناس امنیت سایبری ، سابقه همکاری با بیش از 50 سازمان دولتی ، خصوصی ، نظامی و انتظامی در قالب مشاور ، مدرس و مدیر پروژه ، مدرس دوره های تخصص شبکه ، امنیت ، هک و نفوذ ، در حال حاضر در ایران دیگه رسما فعالیتی غیر از مشاوره انجام نمیدم و مقیم کشور ترکیه هستم ، عاشق آموزش و تدریس هستم و به همین دلیل دوره های آموزشی که ضبط می کنم در دنیا بی نظیر هستند.

نظرات