Websecurity - Веб безпека

3 відповідей на “Уразливості на top100.rambler.ru”

1. a.komlev каже:
   Четвер, 03:57 21.02.2008

   Есть по-серьезнее… CRLF injection-HTTP Response Splitting

2. MustLive каже:
   Четвер, 19:17 21.02.2008

   Александр

   Уязвимостей на ваших сайтах хватает . Разных уязвимостей. В данном случае я написал о тех уязвимостях, которые обнаружил в одном вашем скрипте в июле прошлого года. Замечу, что этот же скрипт, помимо XSS, уязвим также к CSRF и Insufficient Anti-automation (так что дыр на Рамблере хватает).

   Уязвимости CRLF Injection и HTTP Response Splitting (которые достаточно распространены в Сети) являются двумя разными уязвимостями двух классов, для атаки на серверы и на клиентов соответственно, со схожим механизмом атаки. И они не являются более серьёзными чем Cross-Site Scripting. Так как классический CRLF Injection не предназначен для прямой атаки на посетителей, а HTTP Response Splitting используется для разных атак на клиентов, в частности XSS атак (и поэтому имеет тот же уровень опасности).

3. a.komlev каже:
   Четвер, 20:27 21.02.2008

   >Уязвимостей на ваших сайтах хватает
   Соглашусь. Также как их хватает везде где не проводится своевременная модернизация сервисов…

   >Так как классический CRLF Injection не предназначен для прямой >атаки на посетителей, а HTTP Response Splitting используется для >разных атак на клиентов, в частности XSS атак (и поэтому имеет тот >же уровень опасности).

   Упомянутый тип опаснее все же, т.к. позволяет помимо всего еще и осуществлять модификацию данных кэша сервера-посредника.

   И все же не понял в чем принципиальное различие типов атак. Исключительно применительно к вебу (как правило их применимо к вебу используют как синонимы фактически)… Как можно в чистом виде в этом типе атаки целью может быть сервер? Не очень понял…

Leave a Reply

You must be logged in to post a comment.