מה זה Webshell?

מה זה Shell אפליקטיבי? Web Application Shell?

Shell אפליקטיבי הוא סקריפט פשוט או קטע קוד ארוך הנטען אל שירות פגיע, מאפשר הרצת פקודות בשרת וגישה מלאה על היישום בו הוא פועל (אתר, מסדי נתונים ועוד).
את הסקריפט ניתן לכתוב בשפות שונות כגון: ASPX, ASP, PHP, Ruby, Perl והוא חייב להיות באותה השפת הקוד שבה כתובה האפליקציה או היישום.
השליטה על השירותים נעשית דרך דפדפן האינטרנט באמצעות ממשק פשוט וקל לתפעול שלא מצריך חיבור מקדים אל השרת.

* חיסרון בולט של ה-Shell האפליקטיבי הוא שאין לו את היכולת להתנהג כמו טרמינל רגיל.

ניצול:
ניתן ב-Shell אפליקטיבי באמצעות מספר דרכים:
1. XSS Stored.
2. SQLi.
3. פגיעויות ביישומי WordPress או CMS ועוד.
4. LFI / RFI.
5. ממשקי ניהול המאפשרים העלאות קבצים.

איתור ומניעה:
הפעלת Shell אפליקטיבי נעשית לרוב באמצעות פגיעויות ביישום האינטרנטי ולכן איתור ותיקון חורים אלו עשויים להיות נדבך חשוב במניעת הפגיעויות.
שירותי אנטי וירוס מתקשים לזהות Shell אפליקטיבי, מכיוון שהוא קל מאוד והקוד שלו משתנה.

להלן מספר סממנים המעידים על הידבקות:
1. קבצים עם חותמת זמן יוצאת דופן (למשל, עדכניים יותר מהעדכון האחרון, שם או גרסה שגויה ועוד).
2. קבצים חשודים במיקומים נגישים לאינטרנט.
3. קבצים המכילים הפניות למילות מפתח כגון cmd.exe, powershell.exe.
4. כניסות חשודות שמקורן ברשתות משנה פנימיות.
5. הורדה והעלאת נתונים בכמות חריגה.

כדי למנוע פגיעות ולמזער נזקים יש לפעול לפי השלבים הבאים:

1. ביצוע עדכונים שוטפים ליישום האינטרנטי ולמערכת ההפעלה.
2. הטמעת מדיניות הרשאות כדי להקשות על התוקף בביצוע אסקלציות ולצורך שליטה ובקרה על ספריות.
3. אזור מפורז (DMZ).
4. הגבלת גישה לנתיבים וכתובות לגיטימיות ומוכרות (Mod Security).
5. סגירת פורטים ושירותים מיותרים והגבלת גישה אל השירותים הפעילים.
6. הקמת גיבוי (לא מקוון) של השרת ומעקב אחר שינויי תוכן ושלמות הקבצים.
7. סינון הקלט המגיע מהמשתמשים.
8. ניתוח רשת וחתימת וירוסים.
9. יש לבדוק כל קובץ שנראה חשוד ועשוי להוות איום.

דוגמאות:
שם: wso
שפה: PHP
גיטהאב: https://github.com/tennc/webshell/tree/master/php/wso
תמונות: