10 лучших техник веб-хакинга 2018

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!

image

Каждый год сообщество экспертов по веб-безопасности выбирает TOP-10 техник атак на веб-приложения. Организатором конкурса выступает компания Portswigger, разрабатывающая один из лучших инструментов для тестирования на проникновение веб-приложений — Burp Suite.

Под катом вас ждет 10 лучших инновационных техник атак на веб-приложения, отобранных со всего мира.

Всего было номинировано 59 новых техник атак, из которых сообщество путем голосования выделило следующие:

10. Межсайтовый поиск в багтрекере Google для выявления уязвимого кода (XS-Searching Google's bug tracker to find out vulnerable source code)


Комбинация уязвимостей системы багтрекинга Monorail позволяла атакующему получать тикеты, загруженные другими пользователями. Эта система используется такими командами, как Angle, PDFium, Gerrit, V8, Open Media и Project Zero (Google).

Используя уязвимости CSRF + XS-Search, исследователь Luan Herrera сумел подобрать валидные репорты в тикет-системе, содержащие информацию о багах.

image

9. Эксфильтрация данных с помощью инъекций табличных документов (Data Exfiltration via Formula Injection)


С помощью инъекций формул в онлайн-документы Google Sheets и Libre Office исследователям удалось получить данные о целевой системе.

image

image

8. Prepare(): введение в новые техники атак Wordpress (Introducing novel Exploitation Techniques in WordPress)


Это исследование посвящено злоупотреблению двойными связываемыми переменными, а также десериализацией PHP.



7. Эксплуатация XXE с локальными DTD-файлами (Exploiting XXE with local DTD files)


Суть этой атаки сводится к использованию локальных DTD-файлов для развития атаки XXE, исходя из того, что удаленные DTD могут быть заблокированы файрволом и т. д.



6. Десериализация в PHP на новый лад (It's A PHP Unserialization Vulnerability Jim But Not As We Know It)


На 6 месте опасная, но спорная (по авторству) эксплуатация особенности поведения PHP при работе с архивами PHAR. Вроде как свежая уязвимость, но еще в 2017 обсуждалась на форуме Beched, еще ранее была использована в HITCON CTF Quals победителя сегодняшнего хит-парада Orange Tsai, а до этого тихо лежала в багтрекере PHP.

image

5. Атака современных веб-приложений (Attacking 'Modern' Web Technologies)


Франс Розен рассказал о том, как вы можете использовать HTML5 AppCache для эксплуатации.



4. «Загрязнение» proto-свойств в NodeJS (Prototype pollution attacks in NodeJS applications)


В этом исследовании подробно описывается новый метод получения RCE для приложений NodeJS с использованием атак на основе __proto__, которые ранее применялись только к клиентским приложениям.



3. Позади XSS: ESI-инъекции (Beyond XSS: Edge Side Include Injection)


Эта атака примечательна тем, что использует в качестве целей различные проксирующие механизмы, балансеры, серверы кеширования и т. д. Вектор атаки направлен на язык разметки Edge Side Includes, позволяющий использовать дополнительную информацию в кешируемом контенте, в том числе и динамическое содержимое. Эксплуатация уязвимостей ESI позволяет обойти механизмы HTTPOnly при проведении XSS-атак, производить SSRF-атаки.

image

2. Отравление кеша: переопределение «неэксплуатируемого» (Practical Web Cache Poisoning: Redefining 'Unexploitable')


Это исследование, проведенное Джеймсом Кеттлом (один из разработчиков Burp Suite), демонстрирует методы заражения веб-кеша вредоносным контентом с использованием скрытых заголовков HTTP.

image

1. Обламываем логику парсера (Breaking Parser Logic: Take Your Path Normalization off and Pop 0days Out!)


Первое место занимает небезызвестный Orange Tsai с новой техникой атаки, основанной на недостатках проверки путей, позволяющей атакующему влиять на целевые веб-сервер, фреймворк и т. д. Первое место этот исследователь занимает второй год подряд.

Источник: https://habr.com/ru/company/jetinfosystems/blog/442518/


Интересные статьи

Интересные статьи

Мы в okmeter.io в какой-то момент поняли, что нам тоже нужен k8s в production, хотя у нас нет даже CI/CD, но есть задача делить общий пул серверов между приложениями и достаточно ле...
На работе я занимаюсь поддержкой пользователей и обслуживанием коробочной версии CRM Битрикс24, в том числе и написанием бизнес-процессов. Нужно отметить, что на самом деле я не «чист...
Предыстория Когда-то у меня возникла необходимость проверять наличие неотправленных сообщений в «1С-Битрикс: Управление сайтом» (далее Битрикс) и получать уведомления об этом. Пробле...
Устраивать конкурсы в инстаграме сейчас модно. И удобно. Инстаграм предоставляет достаточно обширный API, который позволяет делать практически всё, что может сделать обычный пользователь ручками.
Ранее мы говорили о том, как запустить подкаст. Сегодня — поделимся опытом подготовки собственной передачи — «Звук» — обсудим выбор тем и опыт взаимодействия со спикерами. ...