Jeremiah Grossman
опубликовал результаты ежегодного конкурса на лучшие техники хакинга, исследования безопасности в области веб-технологий и инструментарий для их проведения. По результатам проведенного голосования, комьюнити выбрало 10 наиболее интересных тем из номинировавшихся 69:
Десятое место получило исследование
Stefano Di Paola атаки
Java Applet DNS Rebinding, позволяющей обоходить same origin policy и устанавливать из апплетов-java произвольные TCP/UDP соединения, в частности — организовать сканирование портов в intranet-сети из апплета, загруженного с интернет-сайта.
Девятого места удостоилось исследование ушедшего со сцены в конце 2010 года исследователя
Robert "RSnake" Hansen атаки
CSS History Hack In Firefox Without JavaScript for Intranet Portscanning, позволяющей проверить факт доступа атакуемого пользователя на произвольные сайты без запуска в браузере пользователя каких-либо скриптов.
Восьмое место получил инструмент
Javasnoop от
Arshan Dabirsiaghi, представляющий собой своего рода отладчик-прокси, позволяющий цепляться к исполняемому JVM-процессу и перехватывать вызовы методов, изменять передаваемые данные, выполнять произвольный код в контексте исследуемого процесса и т.п.
Седьмое место было присуждено исследованию атаки
HTTP-Post DDoS, проведенному
Wong Onn Chee и
Tom Brennan. Суть данной атаки заключается в отправке веб-серверу "меееееееееедленных" (с) HTTP-POST запросов, что способно привести к DoS большинство high-load инфраструктур уже при нескольких десятках тысячах атакующих клиентов.
На шестом месте — исследование вектора XSS-атаки
Universal XSS in IE8, проведенное
Eduardo Vela и
David Lindsay. Вектор позволяет не только обойти встроенный в IE8 XSS-фильтр, но и использовать особенности его подхода к экранированию javascript-кода для атак на пользователей сайтов, не подверженных XSS-уязвимостям.
Пятое место получило исследование
Lavakumar Kuppan Bypassing CSRF protections with ClickJacking and HTTP Parameter Pollution , посвященное оригинальному способу обхода традиционных мер защиты от CSRF в JSP и ASP.NET (частично) приложениях.
[offtopic]Исходя из личного опыта проведения аудитов безопасности веб-приложений и наблюдения за развитием CSRF-техник в прошлом году, рискну предположить, что эти угрозы вполне могут вскоре стать таким же бичом веб-приложений, каким ранее уже стали XSS, т.к. несмотря на наличие встроенных средств защиты от данного вида угроз в большинстве распространенных фреймворков и тривиальность ее реализации вручную, разработчики не спешат внедрять их в уже работающие проекты, видимо не считая данную угрозу существенной. Надеюсь, что ситуация все же изменится и разработчики осознают риски, создаваемые наличием в их проектах CSRF-уязвимостей.[/offtopic]
Четвертое место было присуждено исследованию
Elie Bursztein,
Baptiste Gourdin и
Dan Boneh Attacking HTTPS with Cache Injection, посвященному атаке на HTTPS-сессию пользователя посредством отравления кэша его браузера для внедрения вредоносного javascript-кода, способного осуществлять доступ к данным, передаваемым в рамках атакованной сессии.
Третьего места удостоилось исследование самого
Jeremiah Grossman Hacking Auto-Complete, в котором он рассматривает весьма работающие IRL способы получения информации, сохраняемой модулями автокомплита современных браузеров.
И наконец, победителями конкурса стали:
Второе место: javascript-фреймворк
Evercookie от
Samy Kamkar, предназначенный для обеспечения беспрецедентного уровня отслеживания пользователей веб-приложения через сохранение меток на его машине всеми мыслимыми и немыслимыми способами, начиная от традиционных cookies и заканчивая кэшем HTTP-аутентификации.
Первое место: не раз обсуждавшаяся на форумах RSDN атака, исследованная
Juliano Rizzo и
Thai Duong в их работе "
'Padding Oracle' Crypto Attack". Напомню, атака (будучи актуальной сначала для JavaServer Faces, а в последствии и для ASP.NET) позволяла, основываясь на информации, получаемой от веб-сервера в ответ на специально-сформированные запросы, вычислять за примемлемое время ключ, который использовался веб-плафтормой для шифрования в т.ч. аутентификационных и сессионых данных. Что, в свою очередь, позволяло аутентифицироваться в веб-приложении под аккаунтом произвольного пользователя и загружать данные, недоступные для загрузки извне (такие, как ASP.NET'ый web.config приложения, к примеру).
С полным списком номинантов можно ознакомится по ссылке, приведенной в начале сообщения. Крайне рекомендую сделать это, т.к. там представлены не менее (а некоторые, по моему личному мнению, и более) интересные исследования.
... << RSDN@Home 1.2.0 alpha 4 rev. 1472>>