10 лучших техник веб-хакинга 2018

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

image

Каждый год сообщество экспертов по веб-безопасности выбирает TOP-10 техник атак на веб-приложения. Организатором конкурса выступает компания Portswigger, разрабатывающая один из лучших инструментов для тестирования на проникновение веб-приложений — Burp Suite.

Под катом вас ждет 10 лучших инновационных техник атак на веб-приложения, отобранных со всего мира.

Всего было номинировано 59 новых техник атак, из которых сообщество путем голосования выделило следующие:

10. Межсайтовый поиск в багтрекере Google для выявления уязвимого кода (XS-Searching Google's bug tracker to find out vulnerable source code)


Комбинация уязвимостей системы багтрекинга Monorail позволяла атакующему получать тикеты, загруженные другими пользователями. Эта система используется такими командами, как Angle, PDFium, Gerrit, V8, Open Media и Project Zero (Google).

Используя уязвимости CSRF + XS-Search, исследователь Luan Herrera сумел подобрать валидные репорты в тикет-системе, содержащие информацию о багах.

image

9. Эксфильтрация данных с помощью инъекций табличных документов (Data Exfiltration via Formula Injection)


С помощью инъекций формул в онлайн-документы Google Sheets и Libre Office исследователям удалось получить данные о целевой системе.

image

image

8. Prepare(): введение в новые техники атак Wordpress (Introducing novel Exploitation Techniques in WordPress)


Это исследование посвящено злоупотреблению двойными связываемыми переменными, а также десериализацией PHP.



7. Эксплуатация XXE с локальными DTD-файлами (Exploiting XXE with local DTD files)


Суть этой атаки сводится к использованию локальных DTD-файлов для развития атаки XXE, исходя из того, что удаленные DTD могут быть заблокированы файрволом и т. д.



6. Десериализация в PHP на новый лад (It's A PHP Unserialization Vulnerability Jim But Not As We Know It)


На 6 месте опасная, но спорная (по авторству) эксплуатация особенности поведения PHP при работе с архивами PHAR. Вроде как свежая уязвимость, но еще в 2017 обсуждалась на форуме Beched, еще ранее была использована в HITCON CTF Quals победителя сегодняшнего хит-парада Orange Tsai, а до этого тихо лежала в багтрекере PHP.

image

5. Атака современных веб-приложений (Attacking 'Modern' Web Technologies)


Франс Розен рассказал о том, как вы можете использовать HTML5 AppCache для эксплуатации.



4. «Загрязнение» proto-свойств в NodeJS (Prototype pollution attacks in NodeJS applications)


В этом исследовании подробно описывается новый метод получения RCE для приложений NodeJS с использованием атак на основе __proto__, которые ранее применялись только к клиентским приложениям.



3. Позади XSS: ESI-инъекции (Beyond XSS: Edge Side Include Injection)


Эта атака примечательна тем, что использует в качестве целей различные проксирующие механизмы, балансеры, серверы кеширования и т. д. Вектор атаки направлен на язык разметки Edge Side Includes, позволяющий использовать дополнительную информацию в кешируемом контенте, в том числе и динамическое содержимое. Эксплуатация уязвимостей ESI позволяет обойти механизмы HTTPOnly при проведении XSS-атак, производить SSRF-атаки.

image

2. Отравление кеша: переопределение «неэксплуатируемого» (Practical Web Cache Poisoning: Redefining 'Unexploitable')


Это исследование, проведенное Джеймсом Кеттлом (один из разработчиков Burp Suite), демонстрирует методы заражения веб-кеша вредоносным контентом с использованием скрытых заголовков HTTP.

image

1. Обламываем логику парсера (Breaking Parser Logic: Take Your Path Normalization off and Pop 0days Out!)


Первое место занимает небезызвестный Orange Tsai с новой техникой атаки, основанной на недостатках проверки путей, позволяющей атакующему влиять на целевые веб-сервер, фреймворк и т. д. Первое место этот исследователь занимает второй год подряд.

Источник: https://habr.com/ru/company/jetinfosystems/blog/442518/#habracut

Интересные статьи

Интересные статьи

Доброй осени, дамы и господа. Подготовил для вас подборку самых интересных находок из опенсорса за август 2019. За полным списком новых полезных инструментов, статей и докладов можно обратиться...
Этот хабрапост объединяет десять лучших докладов от таких спикеров, как Nicolai Josuttis, Timur Doumler, Андрей Давыдов и многих других. C++17/20/23, concepts, immutable data structures, concurr...
Роботизация и автоматизация становятся всё востребованнее, и многим хотелось бы научиться создавать подобные системы и устройства. Но с чего начать, как освоить азы? Мы сделали для вас неболь...
Ранее мы говорили о том, как запустить подкаст. Сегодня — поделимся опытом подготовки собственной передачи — «Звук» — обсудим выбор тем и опыт взаимодействия со спикерами. ...
Эта статья посвящена одному из способов сделать в 1с-Битрикс форму в всплывающем окне. Достоинства метода: - можно использовать любые формы 1с-Битрикс, которые выводятся компонентом. Например, добавле...