Attacchi alle applicazioni web lato client

Il post seguente è stato tradotto, previa autorizzazione, dal blog SANS Computer Forensics

Nel corso degli ultimi anni, gli attacchi contro le applicazioni web sono diventati più frequenti e sofisticati.

Ci sono diversi metodi per attaccare le applicazioni web, SQL injection, è uno dei più noti. In questo articolo parleremo di una classe diversa di attacchi e forniremo alcuni esempi di come un incident responder, o un investigatore di computer forensics possa individuarli.

Tutti i form web contengono campi che vengono utilizzati per catturare input da un utente e inviati al server per l’elaborazione.
I campi del form vengono comunemente usati per raccogliere informazioni, dai dettagli dell’operazione sui siti di ecommerce, fino alle credenziali di autenticazione per contenuti riservati. Mentre i campi del form vengono utilizzati per raccogliere dati legittimamente inseriti da parte degli utenti, possono essere utilizzati anche per arrecare danno.

Un esempio comune di attacco lato client è il form field injection. In questo tipo di attacco il malware, interagendo con un browser web, aggiunge ulteriori campi ad un form su una pagina web (cercate BHO html injection).

Lo scopo dei campi injected è ingannare gli utenti a rivelare dati personali sensibili, come password, codici PIN dei bancomat e numeri di carte di credito. Queste informazioni vengono acquisite e trasmesse a siti remoti dove possono essere usati per perpetrare furti di identità o frodi. Diverse classi di malware sono in grado di eseguire questo tipo di attacco, compreso l’ampiamente utilizzato ZeuS

Gli attacchi HTML injection compiono con il form field injection, un ulteriore passo in avanti. Invece di inserire un campo di un form in una pagina web, l’injection di codice HTML sostituisce l’HTML legittimo proveniente dal server, in maniera simile ad una operazione “taglia ed incolla”. L’HTML sostituito viene sovrascritto dall’ HTML dell’attacker ed il contenuto originale non verrà mai più inserito dal browser web. Questo tipo di attacco può essere utilizzato per modificare il flusso logico di un’applicazione web. Ad esempio i dati legittimi in una pagina web, come il riepilogo di un account, potrebbero essere sostituiti da un form per chiedere nome utente e password. Dopo che i dati saranno stati inseriti nel form, i dati legittimi saranno mostrati correttamente. Ciò potrebbe apparire come un ulteriore livello di autenticazione, inducendo l’utente a inserire le credenziali che verranno memorizzate come l’attacco form field injection di cui sopra.

Perché queste informazioni sono importanti per i professionisti dell’ incident response e della digital forensic ? Entrambi questi attacchi sono lato client. Quando si investiga su applicazioni web compromesse, gli investigatori potrebbero non avere accesso al computer lato client. Tuttavia, poiché i campi injected sono parte di un form web, possono essere trasmessi al server nella richiesta POST, insieme ai campi legittimi della pagina. Questi artifact possono essere visualizzati come dati anomali nei log dei server. Ad esempio, un campo nome utente che appaia in un POST che non sia in una pagina di login legittima, dovrebbe essere investigato.

In sintesi: conoscere gli attacchi in corso, saper come vengono compiuti e saper quali artifact, o firme, possano lasciarsi alle spalle, può essere un grande vantaggio per un investigatore. Tramite la conoscenza e la ricerca di questi segni, gli investigatori sono in grado di riconoscere e reagire agli incidenti più velocemente, con conseguente minore impatto per l’organizzazione/agenzia. Si torna al vecchio adagio di conoscere il vostro sistema, dati, flussi, ecc. Concentrate l’attenzione su qualsiasi deviazione anomala rispetto a questi pattern, in quanto può essere un avvertimento che si sia verificato un incidente.

Chris Silveira gestisce il CSIRT e Paul Yacovetta è un forensic engineer presso un istituto finanziario.

Fonte: Client-side Web Application Attacks

Written by admin

2 Comments

Xian

Ciao Leonardo, complimenti per la selezione degli articoli che traduci, sono sempre molto interessanti. Per questo tengo sempre d’occhio il tuo blog! 😉
Xian

admin

Grazie Xian 🙂

Sei sempre il mio lettore più accanito 🙂 🙂

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.