Top Ten Web Hacking Techniques 2010
От: kochetkov.vladimir Россия https://kochetkov.github.io
Дата: 20.01.11 14:10
Оценка: 67 (17)
Jeremiah Grossman опубликовал результаты ежегодного конкурса на лучшие техники хакинга, исследования безопасности в области веб-технологий и инструментарий для их проведения. По результатам проведенного голосования, комьюнити выбрало 10 наиболее интересных тем из номинировавшихся 69:

Десятое место получило исследование Stefano Di Paola атаки Java Applet DNS Rebinding, позволяющей обоходить same origin policy и устанавливать из апплетов-java произвольные TCP/UDP соединения, в частности — организовать сканирование портов в intranet-сети из апплета, загруженного с интернет-сайта.

Девятого места удостоилось исследование ушедшего со сцены в конце 2010 года исследователя Robert "RSnake" Hansen атаки CSS History Hack In Firefox Without JavaScript for Intranet Portscanning, позволяющей проверить факт доступа атакуемого пользователя на произвольные сайты без запуска в браузере пользователя каких-либо скриптов.

Восьмое место получил инструмент Javasnoop от Arshan Dabirsiaghi, представляющий собой своего рода отладчик-прокси, позволяющий цепляться к исполняемому JVM-процессу и перехватывать вызовы методов, изменять передаваемые данные, выполнять произвольный код в контексте исследуемого процесса и т.п.

Седьмое место было присуждено исследованию атаки HTTP-Post DDoS, проведенному Wong Onn Chee и Tom Brennan. Суть данной атаки заключается в отправке веб-серверу "меееееееееедленных" (с) HTTP-POST запросов, что способно привести к DoS большинство high-load инфраструктур уже при нескольких десятках тысячах атакующих клиентов.

На шестом месте — исследование вектора XSS-атаки Universal XSS in IE8, проведенное Eduardo Vela и David Lindsay. Вектор позволяет не только обойти встроенный в IE8 XSS-фильтр, но и использовать особенности его подхода к экранированию javascript-кода для атак на пользователей сайтов, не подверженных XSS-уязвимостям.

Пятое место получило исследование Lavakumar Kuppan Bypassing CSRF protections with ClickJacking and HTTP Parameter Pollution , посвященное оригинальному способу обхода традиционных мер защиты от CSRF в JSP и ASP.NET (частично) приложениях.

[offtopic]Исходя из личного опыта проведения аудитов безопасности веб-приложений и наблюдения за развитием CSRF-техник в прошлом году, рискну предположить, что эти угрозы вполне могут вскоре стать таким же бичом веб-приложений, каким ранее уже стали XSS, т.к. несмотря на наличие встроенных средств защиты от данного вида угроз в большинстве распространенных фреймворков и тривиальность ее реализации вручную, разработчики не спешат внедрять их в уже работающие проекты, видимо не считая данную угрозу существенной. Надеюсь, что ситуация все же изменится и разработчики осознают риски, создаваемые наличием в их проектах CSRF-уязвимостей.[/offtopic]

Четвертое место было присуждено исследованию Elie Bursztein, Baptiste Gourdin и Dan Boneh Attacking HTTPS with Cache Injection, посвященному атаке на HTTPS-сессию пользователя посредством отравления кэша его браузера для внедрения вредоносного javascript-кода, способного осуществлять доступ к данным, передаваемым в рамках атакованной сессии.

Третьего места удостоилось исследование самого Jeremiah Grossman Hacking Auto-Complete, в котором он рассматривает весьма работающие IRL способы получения информации, сохраняемой модулями автокомплита современных браузеров.

И наконец, победителями конкурса стали:

Второе место: javascript-фреймворк Evercookie от Samy Kamkar, предназначенный для обеспечения беспрецедентного уровня отслеживания пользователей веб-приложения через сохранение меток на его машине всеми мыслимыми и немыслимыми способами, начиная от традиционных cookies и заканчивая кэшем HTTP-аутентификации.

Первое место: не раз обсуждавшаяся на форумах RSDN атака, исследованная Juliano Rizzo и Thai Duong в их работе "'Padding Oracle' Crypto Attack". Напомню, атака (будучи актуальной сначала для JavaServer Faces, а в последствии и для ASP.NET) позволяла, основываясь на информации, получаемой от веб-сервера в ответ на специально-сформированные запросы, вычислять за примемлемое время ключ, который использовался веб-плафтормой для шифрования в т.ч. аутентификационных и сессионых данных. Что, в свою очередь, позволяло аутентифицироваться в веб-приложении под аккаунтом произвольного пользователя и загружать данные, недоступные для загрузки извне (такие, как ASP.NET'ый web.config приложения, к примеру).

С полным списком номинантов можно ознакомится по ссылке, приведенной в начале сообщения. Крайне рекомендую сделать это, т.к. там представлены не менее (а некоторые, по моему личному мнению, и более) интересные исследования.
... << RSDN@Home 1.2.0 alpha 4 rev. 1472>>

Трек докладов для разработчиков на Positive Hack Days VII
Автор: kochetkov.vladimir
Дата: 15.05 16:12
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.