¿Cómo se puede implementar la prevención de ejecución de datos en sitios web y aplicaciones web para evitar la escalada de privilegios?

0

Tengo un conocimiento básico sobre qué es la prevención y la ejecución de los datos y cómo funciona en Windows, pero vi un artículo en línea (que parece que ya no puedo encontrar) y menciona que también se puede usar en aplicaciones web para evitar privilegios. escalada, pero no se profundizó al respecto después de eso.

Entonces, lo que quiero saber: ¿es posible aplicar la prevención de ejecución de datos en las aplicaciones web para evitar la escalada de privilegios y, de ser así, cómo se implementaría?

    
pregunta Osiris93 09.10.2016 - 14:02
fuente

1 respuesta

0

Técnicas como DEP, NX, PaX, W ^ X, etc. solo ayudan contra un tipo específico de ataques que usan búfer Desbordamientos o similares. Por lo general, las aplicaciones web están escritas en lenguajes de nivel superior que no son propensos a este tipo de ataque. Los típicos ataques del lado del servidor contra las aplicaciones web son la inyección de SQL, la inclusión de archivos locales y remotos, la autenticación interrumpida, etc. y en ninguno de estos casos, DEP ayudará.

Pero, estos ataques en los que DEP no ayuda, generalmente resultan solo en un acceso no privilegiado al sistema del servidor. Para obtener privilegios del sistema, el atacante utiliza explotaciones locales que a menudo funcionan debido a desbordamientos de búfer o similares. Y en este caso, DEP o técnicas similares pueden dificultar que el atacante obtenga privilegios del sistema. Lo que significa que no es DEP para las aplicaciones web en sí lo que ayuda, sino que es DEP para los programas instalados localmente y para el núcleo.

Por supuesto, también hay casos en los que la aplicación web en sí podría beneficiarse de DEP. Este es el caso de las aplicaciones escritas en lenguajes de nivel inferior como C y C ++. Estas aplicaciones se encuentran a menudo en dispositivos integrados (enrutador, etc.).

    
respondido por el Steffen Ullrich 09.10.2016 - 14:43
fuente

Lea otras preguntas en las etiquetas