Хakинг Web-сайтов

Что же хакер может извлечь из Web? В начале главы мы уже писали, что Web служит для хакера одним из основных источников информации, необходимой для успешного выполнения атаки на компьютерные системы. На Web-страничках хакер может найти телефоны организации, адреса электронной почты сотрудников организации и адреса Web-сайтов филиалов организации и ее партнеров. Все это весьма ценная вещь, требуемая для выполнения атак на почтовые клиенты, для сканирования телефонов организации с целью удаленного взлома доступа к корпоративной сети, или других задач.

Далее, очень часто хранящаяся на Web-серверах информация содержит много такого, что не связано напрямую с предоставлением информации посетителям, а оставшееся, например, вследствие недосмотра разработчиков сайта. Очень часто в комментариях внутри кода HTML Web-страничек можно найти указания на фамилии разработчиков (а это - логин для попыток входной регистрации), их телефоны, адреса электронной почты. Ссылки в коде HTML на ресурсы сайта содержат сведения о структуре каталогов сервера. Применяемые для работы сайта сценарии также не лишены недостатков и подчас позволяют проникать на серверный компьютер за счет элементарных ошибок программирования (на этом основаны описываемые далее атаки переполнения буфера).

Программное обеспечение, применяемое на Web-сайтах, в частности, Web-серверы, содержит большое число уязвимостей, и выявивший их хакер может с их помощью взломать доступ к сайту. Далее хакер превратит сервер HTTP, обслуживающий сайт, в ворота для проникновения из Интернета в локальную сеть организации, содержащую лакомые информационные ресурсы. Успеху такой атаки весьма способствует плохая настройка системы защиты Web-сервера, наличие открытых для записи каталогов, слабые пароли доступа и так далее.

Наконец, отчаявшись взломать Web-сайт, хакер может выполнить атаку DoS и попросту «завалить» работу компьютерной системы сайта, что неоднократно происходило даже с такими мощными системами, как сайт Yahoo. Такие атаки мы опишем в следующей главе, а в этой главе займемся более созидательными и полезными задачами хакинга Web-серверов, нежели такое достаточно бессмысленное занятие, как отправка (за свой счет) на Web-сервер пакетов, затрудняющих работу серверного компьютера. Вначале сделаем экскурс в вопросы функционирования сайта Web и выявим задачи, которые должен решить хакер для его взлома.