Websecurity - Веб безпека

В цьому місяці в журналі “PenTest Extra” була опублікована моя стаття (на англійській мові). В лютневому номері журналу PenTest Extra 02/2012, що вийшов 15.02.2012, опублікована стаття “CSRF атаки на мережеві пристрої” (CSRF Attacks on Network Devices).

В ній розповідається про проведення CSRF атак на різні мережеві пристрої, такі як ADSL модеми, роутери, Wi-Fi точки доступа та інші девайси. Наявність CSRF уразливостей в даних пристроях дозволяє віддаленому нападнику взяти їх під повний контроль. І атакувати користувачів, що використовують дані пристрої (зокрема для доступу в Інтернет).

Такі уразливості в різних мережевий пристроях я неодноразово знаходив та писав про них в новинах. Зокрема про Cross-Site Request Forgery уразливості в Iskra Callisto 821+, D-Link DSL-500T ADSL Router та D-Link DAP 1150. І на прикладі уразливостей в Callisto 821+ та DAP 1150 я показав можливість проведення віддалених атак на мережеві пристрої в своїй статті.

Я розглянув два приклади атак на мережеві пристрої: в першій атаці нападник робить віддалений CSRF запит для відкриття доступу до адмінки і входить до адмінки, щоб змінити конфігурацію пристрою, а в другій атаці нападник робить всі дії віддалено через CSRF запити. Всі приклади CSRF експлоітів для статті були зроблені використовуючи мій Генератор CSRF.

В себе на сайті я виклав тізер журналу, в якому наводиться фрагмент моєї статті.

P.S.

Виклав на сайті повну версію статті CSRF attacks on network devices.

This entry was posted on 22:42 16.02.2012 and is filed under Новини сайту, Статті. You can follow any responses to this entry through the RSS 2.0 feed.