Websecurity - Веб безпека

В документі File Download Injection розповідається про FDI атаку. Про включення файлів для скачування з інших сайтів.

Дана атака проводиться через уразливості, що дозволяють включати серверні заголовки, такі як HTTP Response Splitting (WASC-25) та HTTP Response Smuggling (WASC-27). І вона призначена не для проведення класичних атак, як то XSS чи редирекції, а для збереження зловмисних файлів (таких як bat-файли) на локальних комп’ютерах з метою виконання довільних команд на комп’ютерах користувачів.

В статті розглянуті наступні аспекти FDI:

1. Короткий опис.
2. Технічні деталі.
3. Опис атаки.
4. Content-Length заголовки.
5. Reflected і Stored File Download Injection варіанти.
6. Приклади використання FDI.
7. Захист від FDI.

File Download Injection являє собою цікавий вектор атаки на HTTP Response Splitting та HTTP Response Smuggling уразливості у веб додатках.

This entry was posted on 22:46 31.08.2013 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.