18 105
Tesztek Android Google Apple Microsoft Samsung Huawei Nokia Linux Biztonság Tudomány Facebook Videojáték Film
/ContentUploads/A293/123208401-1024x768.jpg
Kattints ide  ➜

Feketelistára kerülhet a sérülékeny honlappal rendelkező cégek domainje

Black Cell Kft.2013.10.08. 14.53
A hazai kibertérben egyre gyakrabban kerülnek fel különböző vállalatok domainjei feketelistára, miközben ezt semmi nem indokolja. Ennek eredményeképpen a vállalat által küldött e-mailek spamként jelennek meg partnereiknél, ügyfeleiknél. A kiváltó ok általában az adott vállalat weboldalának sérülékenységében keresendő, ugyanis illetéktelen személyek kéretlen levelek küldésére használhatják a honlapot.

A sebezhetőség rendszerint az internetes űrlapok esetében fordul elő, ami által valamilyen visszajelzés küldhető az oldal üzemeltetőjének, mint például a "kapcsolat" formoknál. Az egyik legelterjedtebb ilyen típusú támadás az úgynevezett E-mail Header Injection.

Hogyan működik?

A webes űrlap bekéri a felhasználó e-mail címét, valamint az üzenetet, majd generál egy olyan elektronikus levelet, amiben a feladó ("From") a formban megadott e-mail cím lesz, az üzenetet pedig a szövegtörzsben ("Body") helyezi el. Az efféle kérések vagy jelzések fogadója hard-kódolt, azaz minden erről a felületről küldött megkeresés ugyanarra az e-mail címre érkezik. Az E-mail Header Injection támadásánál az illetéktelen behatoló megkeresi a honlap, illetve az űrlap gyenge pontját, és további e-mail headert illeszt be az üzenetbe az internetes felületen keresztül. Ezt a technikát leggyakrabban a spammerek alkalmazzák, akik további címzetteket helyeznek az üzenet headerjébe, így használják ki a webes mezőt spam e-mailek küldésére.

A megelőzés érdekében automatikus webes sérülékenységi vizsgálót célszerű használni, amilyen a piacon az egyik vezető pozíciót magáénak tudható szoftver legújabb verziója is, az Acunetix jelenleg debütált 9-es verziója.

Hogyan történik a honlapok ellenőrzése?

Az Acunetix WVS (Web Vulnerabilty Scanner) v9 az internetes formokat szkenneli, e-mail küldésére utasítja a webes alkalmazást, egyedi VVS (Vulnerability Verification Service) által hosztolt és monitorozott címre. Az ellenőrzés során az Acunetix WVS Email Header Injection kéréseket indít, amiket egyidejűleg azonosít, illetve eltárol azon a számítógépen, ahová telepítve lett. Azok a webes felületek (formok, alkalmazások), amik sebezhetőek az említett támadás okán, üzenetet küldenek a VVS-nek. A VVS az üzenetet felhasználva azonosítja a regisztrált Acunetix WVS telepítést, és automatikusan értesítést küld a tulajdonosnak. A generálódott e-mail tartalmazni fogja az Email Header Injection kérést, egyedi azonosítóval (ID) ellátva, aminek segítségével pontosan megállapítható a sérülékeny honlap, illetve a webes mező.

Az efféle támadásokat nem lehetséges közvetlenül azonosítani, ezért mindenképpen szükség van egy köztes szerverre, ami jelen esetben a Vulnerability Verification Service. Ezzel az eljárással számos más sérülékenység is beazonosítható.


1. A felhasználó elindítja a szkennelést. Előzetesen regisztrált a Vulnerabilty Verification szolgáltatásra az Acunetix WVS > Application Settings > Acunetix VVS menüpontból.

2. Az Acunetix WVS elkezdi ellenőrizni a weboldalt, és ennek részeként végrehajt bizonyos kéréseket, amik utasítják a webes alkalmazást, hogy kéréseket generáljon a VVS-be.

3. Minden egyes kérés egy adatbázisban tárolódik el a gépen, amin az Acunetix fut az egyedi azonosítókkal (ID).

4. Amikor a sérülékeny weboldal vagy mező azonosításra kerül, a webes alkalmazás készít egy kérést a Vulnerabilty Verification Service-nek.

5. A VVS feldolgozza a kérést, azonosítja a regisztrált felhasználót és elküldi az értesítést e-mailen az üzemeltetőnek.

6. A felhasználó az ID vagy az értesítés csatolmányának segítségével további információt kap az adott sérülékenységről.

Az Acunetix magyarországi forgalmazójának (Black Cell IT Security) tájékoztatása szerint további sérülékenységek felderítésénél is (Blind XSS, Host Header based attacks, Server Side Request Forgery (SSRF), XML External Entity) igen nagy előnyt jelent az új VVS szolgáltatás.

A cikk a Black Cell Kft. megbízásából került közzétételre.
Kattints ide  ➜

Az Androbit technológiai és tudományos magazinnál hiszünk abban, hogy az információ mindenkit megillet. Hosszú évek munkájával megszerzett hírnevünknek köszönhetően megadatott számunkra az a lehetőség, hogy műszaki témájú médiumként is elérhessünk minden internetező korosztályt. Tesszük ezt olyan hírekkel és cikkekkel, amik között egyaránt szerepel nagyobb tömegeket és kisebb szakmai csoportokat érintő tartalom is.

A témák gondos összeválogatásának és a cikkek minőségi kidolgozottságának hála mára Magyarország egyik legnépszerűbb technológiai és tudományos információforrásává váltunk – fejlesztéseinkkel és kutatásainkkal pedig igyekszünk mindig egy lépéssel a versenytársak előtt járni.

A weboldalunkon található, szerkesztőségünk által készített tartalmakra vonatkozó összes felhasználási jogot az Androbit technológiai és tudományos magazin birtokolja. A tartalmak egyes részleteinek felhasználását kizárólag látványos (vagy jól hallható) forrásmegjelöléssel engedélyezzük. A feltételek megszegésének jogi következményei lehetnek. A feltételektől eltérő tartalomfelhasználás kizárólag megegyezés útján lehetséges.
Copyright © 2007-2017 – Makay József (makay@androbit.net)
A Firefoxnak így nem sok esélye van a Chrome‑mal szemben
Android vs. iOS ‑ Melyik a biztonságosabb?
Donald Trumpnak iPhone‑ra kell cserélnie a korábbi Samsungját
Eddig tartott a Google Asszisztens exkluzivitása?
Huawei Ügyfélszolgálati Központ ‑ Vásárlás és segítségnyújtás
A Qualcomm válaszolt az Apple vádjaira
Felkapott témák
Elképesztő okból perelte be a Qualcommot az Apple
Android vs. iOS - Melyik a biztonságosabb?
A Samsung már nem titkolja a Galaxy S8 külsejét
Donald Trumpnak iPhone-ra kell cserélnie a korábbi Samsungját
Samsung S8 - Elhagyják a Galaxy márkanevet?
14 ezer forintból építettek házilag egy mobiltelefont
Állásajánlatok
Villamos tervező
Consultant technical services, CRM
Szoftver teszt automatizáló mérnök
MES Application Engineer
Verification and Validation Engineer
EMC Tesztprojekt koordinátor
Frontend és Java fejlesztő