Ataki desynchroniczne HTTP: przemycanie żądań powraca

Grandalf

Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19195
Reakcje/Polubienia
55847
Bardzo wartościowy artykuł, zarówno dla badaczy bezpieczeństwa, jak i twórców stron lub aplikacji webowych.
Żądania HTTP są tradycyjnie postrzegane jako izolowane, autonomiczne jednostki. W tym artykule zaprezentowano zapomniane techniki dla zdalnych, nieuwierzytelnionych napastników, aby przebić się przez tę izolację i splatać ich żądania na inne, dzięki którym autor artykułu mógł grać w "ciuciu babkę" z infrastrukturą internetową wielu systemów komercyjnych i wojskowych, zasypując exploitami ich odwiedzających i zebrać ponad 70 000 $ w nagrodach za błędy.

Wykorzystując te cele jako studia przypadków, pokazano jak delikatnie zmieniać żądania ofiar, aby skierować je na złośliwe terytorium, wywoływać szkodliwe odpowiedzi i przejąć poświadczenia. Zademonstrowano również zastosowanie ponownego montażu zaplecza na własnych żądaniach, aby wykorzystać każdą odrobinę zaufania pokładaną w interfejsie, uzyskać maksymalny dostęp do wewnętrznych interfejsów API, zatruć pamięć podręczną i zagrozić stronie logowania PayPal.
Kliknij aby rozwinąć...

Cały artykuł:
Zaloguj lub Zarejestruj się aby zobaczyć!

Wyjaśnienie, czym jest "HTTP request smuggling":
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Ostatnia edycja:
Musisz się zalogować lub zarejestrować aby odpowiedzieć

Podobne tematy:

Grandalf
Prawie połowa serwerów Microsoft Exchange w Polsce narażona na ataki z zewnątrz
Odpowiedzi
0
Wyświetleń
58
Grandalf
Grandalf
Grandalf
DCG Centrum Medyczne zostało zhakowane - gruby wyciek
Odpowiedzi
2
Wyświetleń
71
Grandalf
Grandalf
Grandalf
Podatność powodująca, że szyfrowanie PGP mogło zmienić temat wiadomości e-mail w Thunderbirdzie
Odpowiedzi
0
Wyświetleń
50
Grandalf
Grandalf
spamtrash
wpath.org
Odpowiedzi
0
Wyświetleń
57
spamtrash
spamtrash
OXYGEN THIEF
National Cyber Security Index
Odpowiedzi
0
Wyświetleń
57
OXYGEN THIEF
OXYGEN THIEF
Do góry