16 570
Tesztek Android Google Apple Microsoft Samsung Huawei Linux Okostelefon Biztonság Tudomány Facebook Videojáték Film
16 570
/ContentUploads/A293/123208401-1024x768.jpg
Kattints ide  ➜

Feketelistára kerülhet a sérülékeny honlappal rendelkező cégek domainje

Black Cell Kft.2013.10.08. 14.53
A hazai kibertérben egyre gyakrabban kerülnek fel különböző vállalatok domainjei feketelistára, miközben ezt semmi nem indokolja. Ennek eredményeképpen a vállalat által küldött e-mailek spamként jelennek meg partnereiknél, ügyfeleiknél. A kiváltó ok általában az adott vállalat weboldalának sérülékenységében keresendő, ugyanis illetéktelen személyek kéretlen levelek küldésére használhatják a honlapot.

A sebezhetőség rendszerint az internetes űrlapok esetében fordul elő, ami által valamilyen visszajelzés küldhető az oldal üzemeltetőjének, mint például a "kapcsolat" formoknál. Az egyik legelterjedtebb ilyen típusú támadás az úgynevezett E-mail Header Injection.

Hogyan működik?

A webes űrlap bekéri a felhasználó e-mail címét, valamint az üzenetet, majd generál egy olyan elektronikus levelet, amiben a feladó ("From") a formban megadott e-mail cím lesz, az üzenetet pedig a szövegtörzsben ("Body") helyezi el. Az efféle kérések vagy jelzések fogadója hard-kódolt, azaz minden erről a felületről küldött megkeresés ugyanarra az e-mail címre érkezik. Az E-mail Header Injection támadásánál az illetéktelen behatoló megkeresi a honlap, illetve az űrlap gyenge pontját, és további e-mail headert illeszt be az üzenetbe az internetes felületen keresztül. Ezt a technikát leggyakrabban a spammerek alkalmazzák, akik további címzetteket helyeznek az üzenet headerjébe, így használják ki a webes mezőt spam e-mailek küldésére.

A megelőzés érdekében automatikus webes sérülékenységi vizsgálót célszerű használni, amilyen a piacon az egyik vezető pozíciót magáénak tudható szoftver legújabb verziója is, az Acunetix jelenleg debütált 9-es verziója.

Hogyan történik a honlapok ellenőrzése?

Az Acunetix WVS (Web Vulnerabilty Scanner) v9 az internetes formokat szkenneli, e-mail küldésére utasítja a webes alkalmazást, egyedi VVS (Vulnerability Verification Service) által hosztolt és monitorozott címre. Az ellenőrzés során az Acunetix WVS Email Header Injection kéréseket indít, amiket egyidejűleg azonosít, illetve eltárol azon a számítógépen, ahová telepítve lett. Azok a webes felületek (formok, alkalmazások), amik sebezhetőek az említett támadás okán, üzenetet küldenek a VVS-nek. A VVS az üzenetet felhasználva azonosítja a regisztrált Acunetix WVS telepítést, és automatikusan értesítést küld a tulajdonosnak. A generálódott e-mail tartalmazni fogja az Email Header Injection kérést, egyedi azonosítóval (ID) ellátva, aminek segítségével pontosan megállapítható a sérülékeny honlap, illetve a webes mező.

Az efféle támadásokat nem lehetséges közvetlenül azonosítani, ezért mindenképpen szükség van egy köztes szerverre, ami jelen esetben a Vulnerability Verification Service. Ezzel az eljárással számos más sérülékenység is beazonosítható.


1. A felhasználó elindítja a szkennelést. Előzetesen regisztrált a Vulnerabilty Verification szolgáltatásra az Acunetix WVS > Application Settings > Acunetix VVS menüpontból.

2. Az Acunetix WVS elkezdi ellenőrizni a weboldalt, és ennek részeként végrehajt bizonyos kéréseket, amik utasítják a webes alkalmazást, hogy kéréseket generáljon a VVS-be.

3. Minden egyes kérés egy adatbázisban tárolódik el a gépen, amin az Acunetix fut az egyedi azonosítókkal (ID).

4. Amikor a sérülékeny weboldal vagy mező azonosításra kerül, a webes alkalmazás készít egy kérést a Vulnerabilty Verification Service-nek.

5. A VVS feldolgozza a kérést, azonosítja a regisztrált felhasználót és elküldi az értesítést e-mailen az üzemeltetőnek.

6. A felhasználó az ID vagy az értesítés csatolmányának segítségével további információt kap az adott sérülékenységről.

Az Acunetix magyarországi forgalmazójának (Black Cell IT Security) tájékoztatása szerint további sérülékenységek felderítésénél is (Blind XSS, Host Header based attacks, Server Side Request Forgery (SSRF), XML External Entity) igen nagy előnyt jelent az új VVS szolgáltatás.

A cikk a Black Cell Kft. megbízásából került közzétételre.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2016 – Makay József (makay@androbit.net)
A Nokia nagy visszatérése
Ezek a különbségek az iPhone‑ és Android‑felhasználók között
Tizen: A Microsoft .NET közösség segíti a Samsung Linux‑alapú rendszerének fejlesztését
Hamarosan Apple‑drónok fognak repkedni a fejünk felett
Kevesebb Android‑felhasználó vált iPhone‑ra
Feltörték az Apple Aktiválási zár funkcióját
Felkapott témák
Ezek a különbségek az iPhone- és Android-felhasználók között
Microsoft Surface Phone - Számítógép és okostelefon egy készülékben
Ezek a Huawei-készülékek kapják meg az Android 7.0 Nougat frissítést
Egy alkalmazás bitcoin-terminált csinál a telefonunkból
Keret nélküli kijelzővel érkezik a szétcsúsztatható ZTE Nubia
A Sailfish OS most megelőzheti a Windows Mobile platformot
Állásajánlatok
Pályakezdő informatikus
Mainframe Automation Specialist Budapest
Alkatrész üzletág vezető
Robotszimulációs mérnök - Berendezés-/ Készülékgyártás, Szerszámgyár
IT Manager
Ügyfélszolgálati Munkatárs
Field service technikus gyakornok Budapest