Websecurity - Веб безпека

В статті Inter-Protocol Communication розповідається про міжпротокольну комунікацію. Це можливість двох різних протоколів обмінюватися командами і даними. Що створює нові вектори атак. Зокрема можливості для Mail Command Injection (цей клас уразливостей раніше називався CRLF Injection) для включення команд в поштові та інші протоколи.

В даній статті розглянуті наступні аспекти міжпротокольної комунікації в контексті безпеки:

• Що таке міжпротокольна комунікація.
• Одно та двонаправлена міжпротокольна комунікація.
• Приклади обміну командами між HTTP та IMAP3.
• Проведення Cross-Site Scripting атак.
• Проведення Fingerprinting атак.
• Проведення Brute Force атак.
• Підсумки та подальші дослідження.

Мені доводилося знаходити Mail Command Injection уразливості на веб сайтах, що дозволяли включати SMTP, IMAP та POP команди, і таким чином проводити атаки за допомогою міжпротокольної комунікації. Так що ця тема є достатньо актуальною.

This entry was posted on 23:57 22.10.2015 and is filed under Статті. You can follow any responses to this entry through the RSS 2.0 feed.