html текст
All interests
  • All interests
  • Design
  • Food
  • Gadgets
  • Humor
  • News
  • Photo
  • Travel
  • Video
Click to see the next recommended page
Like it
Don't like
Add to Favorites

Топ-10 новых хакерских техник для веба в 2013 году

Голосование, посвященное наиболее значимым техникам анализа веб-уязвимостей Top 10 Web Hacking Techniques проводится с 2006 года. Недавно эксперты WhatHat Security подвели итоги 2013 года и опубликовали список лучших работ.

Список составляется известным специалистом в области информационной безопасности и техническим директором компании WhiteHat Security Джереми Гроссманом (он же знаменитый в прошлом хакер по кличке MafiaBoy) в сотрудничестве с авторитетным жюри. В список попадают только самые оригинальные и свежие подходы к реализации атак на веб-приложения.

В рейтинге за 2013 год первое место занял метод пассивного рассекречивания местонахождения скрытых сервисов Tor. Метод прост до гениальности. Вы ждете, когда какой-либо из сегментов интернета уходит в офлайн — и инструктируете ботов пинговать сервис внутри сети Onion, проверяя его работоспособность. Если он полностью перестал отвечать — значит, находится в этом сегменте. Если некоторые боты возвращают успешный ответ, а другие — нет, то это означает, что отдельные маршрутизаторы по пути к искомому серверу оказались в «поврежденном» сегменте.

  1. Пассивное рассекречивание местонахождения скрытых сервисов Tor.
  2. Топ-3 проблем с прокси, о которых вам никто не говорил.
  3. Сбор адресов электронной почты с помощью скрипта JavaScript и сервиса Gravatar.
  4. Считывание списка посещенных страниц в браузере жертвы и текста на экране средствами HTML5 (применение фильтров и замер скорости выполнения операций).
  5. Ботнет из миллиона браузеров: видео, описание, слайды презентации.
  6. Хак автодополнения путем скрытия дополнительных полей средствами CSS.
  7. Сайт копирует чужие статьи, а потом подает жалобу DMCA на закрытие оригинала, «нарушающего» авторское право.
  8. Необычная CSRF-атака в Firefox.
  9. Ошибка в архитектуре Ruby on Rails с закрытием сессий.
  10. HTML5 Hard Disk Filler API.

Приятно, что в список лучших хакерских техник попали и исследования российских специалистов. В 2012 году методика, описанная в статье «Случайные числа. Take Two» Дмитрия Нагибина, Арсения Реутова и Тимура Юнусова, заняла четвертое место, а сейчас в топ-20 вошло исследование «XML Out of Band Data Retrieval» Алексея Осипова и все того же Тимура Юнусова. Впоследствии эта техника, впервые представленная на конференции Black Hat Europe весной 2013 года и получившая развитие под названием XXE OOB, помогла обнаружить и устранить уязвимости, связанные со сценариями атак нового типа, в программах Microsoft Office, продуктах Oracle и компонентах SCADA-систем Siemens. Ошибки безопасности данного типа были выявлены даже в ModSecurity — популярном межсетевом экране с открытым исходным кодом, предназначенном для защиты веб-приложений.

Читать дальше
Twitter
Одноклассники
Мой Мир

материал с xakep.ru

204
    +186 surfers

      Add

      You can create thematic collections and keep, for instance, all recipes in one place so you will never lose them.

      No images found
      Previous Next 0 / 0
      500
      • Advertisement
      • Animals
      • Architecture
      • Art
      • Auto
      • Aviation
      • Books
      • Cartoons
      • Celebrities
      • Children
      • Culture
      • Design
      • Economics
      • Education
      • Entertainment
      • Fashion
      • Fitness
      • Food
      • Gadgets
      • Games
      • Health
      • History
      • Hobby
      • Humor
      • Interior
      • Moto
      • Movies
      • Music
      • Nature
      • News
      • Photo
      • Pictures
      • Politics
      • Psychology
      • Science
      • Society
      • Sport
      • Technology
      • Travel
      • Video
      • Weapons
      • Web
      • Work
        Submit
        Valid formats are JPG, PNG, GIF.
        Not more than 5 Мb, please.
        30
        surfingbird.ru/site/
        RSS format guidelines
        500
        • Advertisement
        • Animals
        • Architecture
        • Art
        • Auto
        • Aviation
        • Books
        • Cartoons
        • Celebrities
        • Children
        • Culture
        • Design
        • Economics
        • Education
        • Entertainment
        • Fashion
        • Fitness
        • Food
        • Gadgets
        • Games
        • Health
        • History
        • Hobby
        • Humor
        • Interior
        • Moto
        • Movies
        • Music
        • Nature
        • News
        • Photo
        • Pictures
        • Politics
        • Psychology
        • Science
        • Society
        • Sport
        • Technology
        • Travel
        • Video
        • Weapons
        • Web
        • Work

          Submit

          Thank you! Wait for moderation.

          Тебе это не нравится?

          You can block the domain, tag, user or channel, and we'll stop recommend it to you. You can always unblock them in your settings.

          • XakepVideo
          • css
          • javascript
          • microsoft
          • браузер
          • безопасность
          • исследования
          • домен xakep.ru

          Get a link

          Спасибо, твоя жалоба принята.

          Log on to Surfingbird

          Recover
          Sign up

          or

          Welcome to Surfingbird.com!

          You'll find thousands of interesting pages, photos, and videos inside.
          Join!

          • Personal
            recommendations

          • Stash
            interesting and useful stuff

          • Anywhere,
            anytime

          Do we already know you? Login or restore the password.

          Close

          Add to collection

             

            Facebook

            Ваш профиль на рассмотрении, обновите страницу через несколько секунд

            Facebook

            К сожалению, вы не попадаете под условия акции