Безопасность через ограничение пользователей или как создать уязвимость
В 2019 году выявили уязвимость CPDoS Cache Poisoned Denial of Service) на сети CDN, которая позволяет отравить HTTP кэш CDN провайдера и вызвать отказ в обслуживании. Много хайпа уязвимость пока не собрала, так как не была замечена в реальных атаках. Но об одном из способов отравления кэша хочется поговорить отдельно. HTTP Method Override.
Если другие варианты эксплуатации уязвимости так или иначе опираются на баги или особенности модификации запросов посредником, то в основе варианта Method Override лежит одноименная тактика, которая не является частью стандарта HTTP, несет вместе с собой дополнительные проблемы, и которая возникла и распространилась из-за небрежного отношения к безопасности. Вот ее мы и рассмотрим.
Читать дальше →
Если другие варианты эксплуатации уязвимости так или иначе опираются на баги или особенности модификации запросов посредником, то в основе варианта Method Override лежит одноименная тактика, которая не является частью стандарта HTTP, несет вместе с собой дополнительные проблемы, и которая возникла и распространилась из-за небрежного отношения к безопасности. Вот ее мы и рассмотрим.
Читать дальше →
Источник: Хабрахабр
Похожие новости
- Мультирегиональный поиск. Техническая сторона продвижения федеральных сетей клиник
- 10 из 10: в firewall PAN-OS от Palo Alto Networks найдена критическая 0-day-уязвимость. Что происходит?
- Обзор инструмента DefectDojo: почему его выбирают?
- USB Rubber Ducky своими руками. По-настоящему
- Как распознать мошенническое письмо. Памятка безопаснику для обучения пользователей основам ИБ
- [Перевод] Настройка сервиса аутентификации OpenAM и шлюза авторизации OpenIG для защиты приложений
- Интранет: как повысить эффективность целой компании с помощью одного инструмента
- Жажда скорости. Сравниваем работу Hashcat на ВМ, ПК и ноутбуках с разными CPU и GPU
- Brand Analytics запустила BrandGPT — ИИ-ассистента аналитика соцмедиа и СМИ
- Digital Rosatom: Росатом выступил инициатором создания комплексного цифрового решения для строительства сложных индустриальных объектов