Атака на сервер

15.01.2016, 13:47

.Light.

Участник форума

Регистрация: 12.07.2010

Сообщений: 190

С нами: 8334326

Репутация: 0

Подскажите как сделать атаку на сервер.

Нашел сервер Apache/2.2.22 (Ubuntu)

Нашел Acunetix показал что есть грубая ошибка на сервере.

Так вот как воспользоваться этой уязвимостью?

𝕏 Twitter Reddit Telegram Копировать ссылку

15.01.2016, 13:49

blackbox

Постоянный

Регистрация: 31.12.2011

Сообщений: 362

С нами: 7561046

Репутация: 11

Цитата:

Сообщение от .Light.

↑
Подскажите как сделать атаку на сервер.
Нашел сервер Apache/2.2.22 (Ubuntu)
Нашел Acunetix показал что есть грубая ошибка на сервере.
Так вот как воспользоваться этой уязвимостью?

Акунетикс и похожие сканеры часто парашу выдают, которую на практике не используешь. Нужно смотреть что он конкретно написал и дальше уже отталкиваясь от этой инфы решать, можно ли там что-то реализовать или это бесполезный баг "для галочки".

15.01.2016, 13:49

Turanchocks_

Познавший АНТИЧАТ

Регистрация: 11.05.2013

Сообщений: 1,300

С нами: 6845366

Репутация: 17

Для начала нужно знать - что за ошибка."Грубая ошибка на сервере" - это для маглов.

15.01.2016, 14:15

r0b0t

Новичок

Регистрация: 12.11.2015

Сообщений: 24

С нами: 5527766

Репутация: 0

Просто возьми версию апача и пройдись по сплойтам, почитай что есть под эту ветку, не думаю что акунетикс покажет приватную багу, так что в гуле если и есть что то ты найдешь.

18.01.2016, 08:58

.Light.

Участник форума

Регистрация: 12.07.2010

Сообщений: 190

С нами: 8334326

Репутация: 0

nginx SPDY heap buffer overflow

Vulnerability description

A heap-based buffer overflow in the SPDY implementation in nginx 1.3.15 before 1.4.7 and 1.5.x before 1.5.12 allows remote attackers to execute arbitrary code via a crafted request. The problem affects nginx compiled with the ngx_http_spdy_module module (which is not compiled by default) and without --with-debug configure option, if the "spdy" option of the "listen" directive is used in a configuration file.

This vulnerability affects Web Server.

Discovered by: Scripting (Version_Check.script).

Attack details

Current version is : nginx/1.4.6

Retest alert(s)

Mark this alert as a false positive

The impact of this vulnerability

An attacker can cause a heap memory buffer overflow in a worker process by using a specially crafted request, potentially resulting in arbitrary code execution

How to fix this vulnerability

Upgrade nginx to the latest version of apply the patch provided by the vendor.

Classification

CWE CWE-122

CVE CVE-2014-0133

CVSS Base Score: 5.1 - AV:N/AC:H/Au:N/C/I/A/EOC/RL:OF

Access Vector: Network

Access Complexity: High

Authentication: None

Confidentiality Impact: Partial

Integrity Impact: Partial

Availability Impact: Partial

Exploitability: Proof of concept code

Remediation Level: Official fix