اطلاعیه

Collapse
No announcement yet.

درخواست راهنمایی در باگ HTTP Parameter Pollution

Collapse
X
 
  • Filter
  • زمان
  • Show
Clear All
new posts

  • درخواست راهنمایی در باگ HTTP Parameter Pollution

    با عرض سلام !

    تارگتی رو توسط Acunetix اسکن کردم و بعد از پیویش باگ " HTTP Parameter Pollution " رو ارائه داد .

    طبق اطلاعاتی که از بچه های Irist و آشیانه گرفتم :

    این باگ اولین بار توسط Stefano diPaola توی کنفرانس OWASP در سال 2009 کشف و شناسایی شد. و علت رخ دادش هم وجود تابع هایی که ایجاد خطا می کنه و یک کلاس آسیب پذیری تزریق (injection class) هستش که روی درخواست های httpصورت میگیره ( مثل : Post )

    لطفا ، اگر کسی از دوستان تجربه ی نفوذ به یک تارگت از طریق این باگ رو داره و یا الطلاعات مفیدی در این ضمینه داره لطفا مطرح کنه !

    پاورقی:
    ___________________________________________
    چند لینک و کتاب :
    کد:
    http://s3.picofile.com/file/7418628274/AppsecEU09_CarettoniDiPaola_v0_8.pdf.html 
    
    http://s3.picofile.com/file/7418631391/Http_Parameter_Contamination_Ivan_Markovic_NSS.pdf.html 
    
    http://www.nirgoldshlager.com/2011/03/blogger-get-administrator-privilege-on.html 
    
    http://blog.iseclab.org/2010/12/08/http-parameter-pollution-so-how-many-flawed-applications-exist-out-there-we-go-online-with-a-new-service/ 
    
    http://www.acunetix.com/blog/whitepaper-http-parameter-pollution/ 
    
    http://blog.mindedsecurity.com/2009/05/client-side-http-parameter-pollution.html 
    
    http://dl.packetstormsecurity.net/papers/attack/parameter-pollution.pdf
    
    https://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf
    
    http://www.iseclab.org/people/embyte/slides/BHEU2011/whitepaper-bhEU2011.pdf
    
    http://media.hacking-lab.com/scs3/scs3_pdf/SCS3_2011_Balduzzi.pdf
    
    http://www.ics.forth.gr/~elathan/papers/acns2012.pdf
    2 فیلم از کنفرانس سایبر سکیوریتی سویس :
    کد:
    http://www.2shared.com/file/90mjfuab...ator_priv.html
    https://www.swisscyberstorm.com/speakers/balduzzi#video
    !!! It is a Fake Account
Working...
X