19 Июля, 2011

DNS Rebinding сценарий по захвату мира

Dmitriy Evteev
В далеком 2009 году я вскользь упоминал атаку под названием DNS Rebinding (Anti DNS Pinning). Тогда, у аудитории слушателей возникли сомнения в ее реализации в силу своей сложности. Но прошло каких-то пару лет и у нас появился не "наколенный" proof-of-concept, а полноценный фреймворк с графическим веб-интерфейсом для проведения этого сценария атаки. Напомню, что суть атаки DNS Rebinding заключается в возможности обхода ограничений безопасности Same origin policy . Именно это ограничение, которое присутствует во всех браузерах, и спасает Интернет от полного хаоса. name='more'> Впервые разработанный фреймворк для проведения атаки DNS Rebinding был представлен в рамках технических семинаров на международном форуме Positive Hack Days 2011. На нем же были разобраны многие аспекты, с которыми столкнулся Денис Баранов (разработчик фреймворка) при практической реализации этой атаки в современных условиях. Для всех, кто не смог попасть на этот евент, существует возможность послушать выступление Дениса в рамках проводимых вебинаров Positive Technologies : образовательная программа "Практическая безопасность" . Для того чтобы проникнуться темой атаки DNS Rebinding, предлагаю вашему вниманию два видео-ролика, демонстрирующие типовые сценарии атаки:

К слову, в следующем выпуске журнала Хакер можно будет ознакомиться с техническими деталями практической реализации атаки DNS Rebinding.