Цікаві записи на тему веб безпеки
19:22 29.01.2011Продовжуючи традицію, пропоную вашій увазі добірку цікавих записів на тему веб безпеки.
В своєму записі XSS Evades IP Filtering, RSnake розповідає про використання XSS для обходу обмежень по IP. З однієї сторони для простих речей вистачить і CSRF, але для більш складних речей потрібно використовувати CSRF через XSS атаку (і про такі речі я вже розповідав). До того ж, через XSS уразливості можна обходити і захисти проти CSRF-атак, на що я наголошую вже на протязі багатьох років.
В своєму записі Schmoilito’s Way Is Hacking Via Local Apps, RSnake розповідає про використання MSXML для локальних атак, про які повідомив йому Schmoilito. Причому MSXML XHR може використовуватися не тільки для атаки на інтранет (на локальну мережу), але й для доступу до локальних файлів. Тому що Майкрософтський функціонал MSXML, що працює в браузері IE, дозволяє читати локальні файли.
В своєму записі MalaRIA Malicious RIA Proxy, RSnake розповідає про MalaRIA - Malicious RIA Proxy. Цей додаток розроблений Erlend Oftedal і являє собою проксі, що може використовуватися для атаки на сайти через Flash та Silverlight. Він може використовуватися для доступу з одного сайту до захищенного контенту на іншому сайті через флеш чи сільверлайт на машині клієнта.
