Тема: Тайны CSRF-уязвимостей: Глубокий аудит веб-приложений для профессионалов
Показать сообщение отдельно

  #2  
Старый 11.07.2022, 06:01
f22
Новичок
Регистрация: 05.05.2019
Сообщений: 0
С нами: 3697991

Репутация: 0
По умолчанию
Цитата:

Vavilen сказал(а):

Чтобы не привлекать внимания жертвы, было принято решение развернуть аналогичный софт в лаборатории.

Цитата:

Vavilen сказал(а):

Взлом Wi-Fi для перехвата трафика
Примечательно, что по умолчанию подключение происходит по HTTP. Теоретически возможно взломать Wi-Fi роутер и перехватить трафик в plain text, но не наш случай, т.к. пользователи используют USB мобильные модемы.

Взломать роутер в собственной лаборатории?
Зачем нужно ломать роутер, если можно установить Wireshark или написать собственный сниффер?

Да, и что можно было найти в своём трафике, если требуются кукисы или учетка админа?

Цитата:

Vavilen сказал(а):

Слабая защита от грубой силы
Проверяю защиту от брутфорса admin/admin admin/password ... — через 5 попыток блокировка по IP. Попробовал трюк с обходом блокировки по IP. Добавил в Head заголовок типа X-Forwarded-For, сервер не реагирует. Такое обходить будет проблематично, без использования пакета прокси или написание софта.

Учитывая, что пароль оказался "PASSWORD", брутфорс тут не такая уже и плохая идея.
Поднять tor, proxychains и написать банальный bash script, отправляющий по 5 запросов и меняющий IP не составит большого труда.
Как минимум можно было поставить такое задание в фон

Цитата:

Vavilen сказал(а):

перехватить трафик в plain text,

Цитата:

Vavilen сказал(а):

Есть вариант с семидневным пробным периодом с предоставлением VPS. Очень удобно для наших тестов.

какой же тут будет plain text, если подключение идёт через VPS?

Цитата:

Vavilen сказал(а):

"new_password":"123=","new_password_confirmation": "123'

Как же будет создана админка, если переданный пароль и его подтверждение разные?
Да и кавычки должны быть парными... такой запрос, похоже, кроме ошибки ничего не создаст

Цитата:

Vavilen сказал(а):

При создании запроса на создание админки идёт
Код:
POST
запрос
Код:
/admin/?object=account.create
с телом:

А почему адреса-то разные?

Цитата:

Vavilen сказал(а):

Формируется POST запрос на сервер жертвы, т. к. жертва залогинена, подставляются легитимные куки.

Цитата:

Vavilen сказал(а):

При создании запроса на создание админки идёт
Код:
POST
запрос
Код:
/admin/?object=account.create
с телом:

Что-то не совсем понятно, а как пользователь, не являющийся админом, запросит создание админки и мало того, ещё и создаст её?
 
Ответить с цитированием