با عرض سلام !
تارگتی رو توسط Acunetix اسکن کردم و بعد از پیویش باگ " HTTP Parameter Pollution " رو ارائه داد .
طبق اطلاعاتی Ú©Ù‡ از بچه های Irist Ùˆ آشیانه گرÙتم :
این باگ اولین بار توسط Stefano diPaola توی Ú©Ù†Ùرانس OWASP در سال 2009 Ú©Ø´Ù Ùˆ شناسایی شد. Ùˆ علت رخ دادش هم وجود تابع هایی Ú©Ù‡ ایجاد خطا Ù…ÛŒ کنه Ùˆ یک کلاس آسیب پذیری تزریق (injection class) هستش Ú©Ù‡ روی درخواست های httpصورت میگیره ( مثل : Post )
لطÙا ØŒ اگر کسی از دوستان تجربه ÛŒ Ù†Ùوذ به یک تارگت از طریق این باگ رو داره Ùˆ یا الطلاعات Ù…Ùیدی در این ضمینه داره لطÙا Ù…Ø·Ø±Ø Ú©Ù†Ù‡ !
پاورقی:
___________________________________________
چند لینک و کتاب :
2 Ùیلم از Ú©Ù†Ùرانس سایبر سکیوریتی سویس :
تارگتی رو توسط Acunetix اسکن کردم و بعد از پیویش باگ " HTTP Parameter Pollution " رو ارائه داد .
طبق اطلاعاتی Ú©Ù‡ از بچه های Irist Ùˆ آشیانه گرÙتم :
این باگ اولین بار توسط Stefano diPaola توی Ú©Ù†Ùرانس OWASP در سال 2009 Ú©Ø´Ù Ùˆ شناسایی شد. Ùˆ علت رخ دادش هم وجود تابع هایی Ú©Ù‡ ایجاد خطا Ù…ÛŒ کنه Ùˆ یک کلاس آسیب پذیری تزریق (injection class) هستش Ú©Ù‡ روی درخواست های httpصورت میگیره ( مثل : Post )
لطÙا ØŒ اگر کسی از دوستان تجربه ÛŒ Ù†Ùوذ به یک تارگت از طریق این باگ رو داره Ùˆ یا الطلاعات Ù…Ùیدی در این ضمینه داره لطÙا Ù…Ø·Ø±Ø Ú©Ù†Ù‡ !
پاورقی:
___________________________________________
چند لینک و کتاب :
کد:
http://s3.picofile.com/file/7418628274/AppsecEU09_CarettoniDiPaola_v0_8.pdf.html http://s3.picofile.com/file/7418631391/Http_Parameter_Contamination_Ivan_Markovic_NSS.pdf.html http://www.nirgoldshlager.com/2011/03/blogger-get-administrator-privilege-on.html http://blog.iseclab.org/2010/12/08/http-parameter-pollution-so-how-many-flawed-applications-exist-out-there-we-go-online-with-a-new-service/ http://www.acunetix.com/blog/whitepaper-http-parameter-pollution/ http://blog.mindedsecurity.com/2009/05/client-side-http-parameter-pollution.html http://dl.packetstormsecurity.net/papers/attack/parameter-pollution.pdf https://www.owasp.org/images/b/ba/AppsecEU09_CarettoniDiPaola_v0.8.pdf http://www.iseclab.org/people/embyte/slides/BHEU2011/whitepaper-bhEU2011.pdf http://media.hacking-lab.com/scs3/scs3_pdf/SCS3_2011_Balduzzi.pdf http://www.ics.forth.gr/~elathan/papers/acns2012.pdf
کد:
http://www.2shared.com/file/90mjfuab...ator_priv.html https://www.swisscyberstorm.com/speakers/balduzzi#video