it-swarm-es.com

¿Cuál es la vulnerabilidad en mi PHP?

Un sitio web mío fue recientemente hackeado. Aunque el sitio web real permanece sin cambios, de alguna manera se pudieron usar el dominio para crear un enlace que reordenó a una estafa de phishing de eBay.

He tomado el sitio web, por razones obvias, por lo que no puedo vincularme con el código. Me pregunto cómo puedo hacer para descubrir qué vulnerabilidad usó para que pueda evitar este problema en el futuro. La página utiliza PHP, y también algunos javascript (para validación de formulario).

¿Hay un servicio gratuito que escaneará mi código para las vulnerabilidades? ¿Cuáles son mis otras opciones?

Si alguien está dispuesto a tomarse el tiempo para mirarlo, con gusto .Zanzar el código y albergarlo en alguna parte ...

Gracias, jeff

7
Jeff

Gratis no va lejos, pero puedes intentar ejecutar el siguiente sí mismo:

Los escáneres de la caja negra mencionados anteriormente probablemente tomarían las vulnerabilidades más obvias (especialmente si se arrastra manualmente "su aplicación para asegurar que los escáneres prueben todo: cada herramienta admite los rastreo manual, por ejemplo, https: //netparker.zendesk .com/Entradas/351851-Modo de proxy manual-Crawl )

Además, necesita hacer validación en el Cliente y servidor:

OWASP: "Realización de la validación en el código lateral del cliente, generalmente JavaScript, no proporciona protección para el código del lado del servidor. Un atacante puede simplemente deshabilitar JavaScript, usar Telnet o usar un proxy de prueba de seguridad, como WebSCARAB para evitar la validación del lado del cliente".

8
Tate Hansen

En primer lugar, tiene lo que parece PHP Shells en IMG/51.PHP e IMG/74.PHP, que puede haber sido la (s) fuente (s) de su problema. Estos son generalmente cargados por alguien que ha comprometido un sitio para ejecutar fácilmente los comandos del sistema operativo y/o interrogar la base de datos.

Si ese es el caso, es posible que esté buscando un problema con una versión insegura de su panel de control/software de administración (o una contraseña insegura) o algún otro problema en el nivel del servidor web en lugar de un problema en la propia aplicación (nota , No he echado un vistazo a la fuente en ningún detalle).

7
Justin Clarke

Para mí, suena como si estuviera experimentando personas que usan Redirecciones abiertas (OWASP) para enviar a sus usuarios a sitios maliciosos sin que se realicen.

Recomendaría intentar escanear su solicitud con:

No me importaría echar un vistazo a tu sitio también. Si puede publicarlo a mí y soltarlo en los comentarios o enviar un correo electrónico a K4RRAX [AT] Gmail [DOT] COM

[~ # ~] Editar [~ # ~] : El enlace de Tate a NetSparker también parece una buena herramienta que podría ayudar a su suminatuación.

Editar 2 : Si está enviando código de origen, recuerde eliminar cualquier información confidencial antes de enviarlo.

3
Chris Dale

Tuve problemas para instalar Skipfish, pero Netsparker funciona muy bien, gracias por la propina. Sin embargo, no se encontraron los principales agujeros de seguridad.

He llegado a la conclusión de que probablemente permití los permisos incorrectos en el sitio del sitio en el primer lugar (+ W para otros). Podría ser tan simple, ¿no podría?

Por lo general, habilito + W para el servidor, de modo que pueda escribir datos en un archivo de texto, pero tal vez solo estuve descuidado al configurar las banderas. Por un lado, espero que este no sea el caso, ya que no solo es un error estúpido, sino que probablemente he perdido el tiempo de todos. Por otro lado, saber que este fue el caso me haría sentir mucho mejor para implementar scripts similares en el futuro (como normalmente vuelvo a usar mucho mi código).

Mi única llama es que NetSparker Community no permite el escaneo de archivos locales, por lo que no mira a través del PHP. Pero, de nuevo, un atacante no podría ver que Código de ...

Si alguien se encontraba con otros defectos de seguridad en el código, estaría muy agradecido, pero de lo contrario, consideraré el problema cerrado. Gracias por ser muy útil, al menos, he aprendido algunos consejos que asegurarán la seguridad de mi sitio en el futuro.

¡Gracias! Jeff

2
Jeff

Si desea comenzar a verificar las vulnerabilidades de su propio sitio web, y no tiene idea de qué software se adapte mejor a sus necesidades, creo que algunos servicios en línea podrían tener ayuda.

En general, no son servicios gratuitos, pero probablemente algunos de ellos ofrecen un primer escaneo de forma gratuita.

Creo que los sitios les gusta http://www.websecurify.com/ con su plugin para chrome, http: //www.gamasec. com/gamascan.aspx O http://www.websafe.ie/ Por ejemplo, puede ser útil para comenzar.

El software que puede ayudarlo a verificar manualmente la seguridad de su sitio, directamente desde su PC, por ejemplo, NESSUS, W3AF, OWASP-ZAP, etc. Algunos de estos se enumeran en http://sectools.org/Etiqueta/escáneres web / y algunos de ellos fueron listados por Karrax en su respuesta.

Para comenzar a usar algunas de estas herramientas sin la molestia de instalarlas, le sugiero que descargue y inicie las distribuciones de Security Linux como http://www.backtrack-linux.org/ o http : //spins.fedoraproject.org/security/

1
tombolinux

Un sitio web mío fue recientemente hackeado

...

el sitio web permanece sin cambios

Hmmm, aquellos parecen ser contradictorios: ¿cómo sabe que el sitio web no ha sido comprometido? Y si el sitio web no estaba comprometido, ¿cuál es el punto en ejecutar un escáner de vulnerabilidad contra ella?

Hay escáneres libres disponibles, pero buscan vulnerabilidades bien conocidas o simplemente haz clicking muy básico. Hay una lista antigua aquí , pero hay una gran brecha entre lo que pueden detectar y lo que podría encontrar un buen investigador. Parece que estás bajo la impresión de que hay algún tipo de fijación mágica.

Debe estar ejecutando un chequeo completo del sistema operativo, buscando backgas/rootkits, por preferencia, reformatear los discos y reinstale el sistema operativo y los parches desde cero. Y luego realice una revisión de seguridad adecuada de su sitio. Como mínimo, va a llevar a alguien que sabe lo que están haciendo al menos 3 días para encontrar algún problema obvio. Incluso para un sitio pequeño, una revisión de seguridad integral podría llevar meses de FTE, incluso años.

de alguna manera, fueron capaces de usar el dominio para crear un enlace que reordenó a una estafa de phishing de eBay

Eso realmente no significa mucho. ¿Quieres decir que ponen un enlace HREF en su contenido apuntando al sitio de Phishing? ¿Que sus registros DNS fueron cambiados para apuntar al otro sitio? ¿Que agregaron un Meta Redirect? ¿Una redirección de JavaScript? Comprender lo que cambiaron es el primer paso para aprovechar cómo lo cambiaron.

1
symcbean

Tengo que hacer eco del comentario de Karrax, pero no es lo suficientemente genial en este sitio para votar algo. Dudo que su sitio estuvo "hackeado" en absoluto, esto suena más como una redirección no válida. Generalmente, cuando su sitio realiza una redirección, conoce los destinos válidos. Restrinja su reenvío a estas ubicaciones y luego un spammer no puede usar su sitio como intermediario.

Este es un problema increíblemente de conmmono y casi cualquier sitio que haga redirecciones según los datos suministrados por el usuario será vulnerable. Los escáneres web comunes solo son moderadamente buenos para atraparlo.

http://www.owasp.org/index.php/top_10_2010-a10-unvalidated_redirects_and_forwards

En general, los spammers utilizan esto para enviar a los usuarios a los sitios de malware.

0
oreoshake

¿Libre? Estás superando la suerte. La mayoría de las herramientas son herramientas comerciales (por pago).

La mejor defensa que puedes obtener, de forma gratuita, es aprender un poco sobre algunos de los ataques más comunes en los sitios web, para que puedas protegerse. Sugiero aprender sobre:

0
D.W.