Websecurity - Веб безпека

В цьому місяці в журналі “PenTest Extra” була опублікована моя стаття. В січневому номері журналу PenTest Extra 01/2012, що вийшов 15.01.2012, опублікована стаття “Business Logic vulnerabilities via CSRF” (на англійській мові).

В ній розповідається про Business Logic уразливості, атака на які проводиться через CSRF. Дані уразливості дозволяють викрадати гроші з рахунків користувачів на сайтах банків, електронних платіжних систем та інших е-комерс сайтів. Такі уразливості я неодноразово знаходив та писав про них в новинах.

Це нова редакція статті Business Logic уразливості через CSRF (перероблена та доповнена), що я опублікував в грудні 2010 року. В даній статті наводиться багато нового матеріалу порівняно з першою редакцією, зокрема новодяться сценарії атак на Business Logic уразливості та експлоти для них. Описуються однокрокові та багатокрокові атаки, зазначається необхідність таймінгу при багатокрокових атаках та наводяться приклади реальних уразливостей на е-комерс сайтах з відповідними експлоітами.

А також в даній статті я вперше анонсував свій новий інструмент Генератор CSRF, що призначений для створення CSRF експлотів. На якому були зроблені всі приклади експлоітів для статті.

В себе на сайті я виклав тізер журналу, в якому наводиться повний текст моєї статті. Так що можете почитати її .

This entry was posted on 22:47 23.01.2012 and is filed under Новини сайту, Статті. You can follow any responses to this entry through the RSS 2.0 feed.