- Автоматизация
- Антропология
- Археология
- Архитектура
- Биология
- Ботаника
- Бухгалтерия
- Военная наука
- Генетика
- География
- Геология
- Демография
- Деревообработка
- Журналистика
- Зоология
- Изобретательство
- Информатика
- Искусство
- История
- Кинематография
- Компьютеризация
- Косметика
- Кулинария
- Культура
- Лексикология
- Лингвистика
- Литература
- Логика
- Маркетинг
- Математика
- Материаловедение
- Медицина
- Менеджмент
- Металлургия
- Метрология
- Механика
- Музыка
- Науковедение
- Образование
- Охрана Труда
- Педагогика
- Полиграфия
- Политология
- Право
- Предпринимательство
- Приборостроение
- Программирование
- Производство
- Промышленность
- Психология
- Радиосвязь
- Религия
- Риторика
- Социология
- Спорт
- Стандартизация
- Статистика
- Строительство
- Технологии
- Торговля
- Транспорт
- Фармакология
- Физика
- Физиология
- Философия
- Финансы
- Химия
- Хозяйство
- Черчение
- Экология
- Экономика
- Электроника
- Электротехника
- Энергетика
[0x04] – Как защитить ваш сайт
[0x04] – Как защитить ваш сайт
- Реализуйте жизненный цикл программного обеспечения (SDLC)
- Безопасное программирование: проверяйте все входные и выходные данные
- Проводите тест на проникновение перед открытием онлайн-доступа
- Укрепляйте его защиту!!
- Проводите повторные тесты на проникновение
- Используйте WAF (необязательно)
- Постоянно проверяйте наличие свежихпатчей для WAF
[0x05] - Заключение
- WAF не оправдывает всех ожиданий
- WAF имеет функциональные ограничения и не может защитить веб-приложение ото всех возможных уязвимостей.
- Необходимо адаптировать фильтры WAF для конкретного защищаемого приложения
- WAF не устраняет уязвимость, он лишь частично экранирует вектор атаки.
[0x06] - Ссылки
[1] WAF Bypass: SQL Injection - Kyle
[2] http: //cwe. mitre. org/data/definitions/98. html
[3] HTTP Parameter Contamination - Ivan Markovic NSS
[4] Split and Join - LavakumarKuppan
[5] HTTP Parameter Pollution - Luca Carettoni and Stefano di Paola
[6] blog. spiderlabs. com
[0x07] - Благодарности
Благодарим: ZeQ3uL, JabAv0C, p3lo, Sh0ck, BAD $ectors, Snapter, Conan, Win7dos, Gdiupo, GnuKDE, JK, Retool2
Особоеспасибо: Exploit-db. com
----------------------------------------------------
Цель опубликования данного материала не в том, чтобы помочь продуктам безопасности, а в том, чтобы показать их слабости. Продукты безопасности не могут защитить на 100% от ошибок администратора в конфигурировании и коде. Чтобы найти брешь в защите нужны лишь время и воображение.
----------------------------------------------------
© OffensiveSecurity 2011
1 (прим. пер. ) И HTTP ParameterPollution, и HTTP ParameterContamination можно перевести как " Загрязнение HTTP-параметров". В первом случае суть " загрязнения" - в разбиении параметра на несколько частей и многократном повторении его имени в строке запроса. Во втором случае строка запроса загрязняется специальными символами.
2 (прим. пер. ) Нецелесообразность включения данных символов в строку запроса, согласно RFC, в том, что они могут отбрасываться и изменяться шлюзами и транспортными агентами, либо использоваться в качестве разделителей.
|
|
|
© helpiks.su При использовании или копировании материалов прямая ссылка на сайт обязательна.
|