Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 След.
RSS
Атака Anti DNS Pinning (DNS rebinding), X-Spider нашел уязвимость "Атака Anti DNS Pinning (DNS rebinding)"
 
Здравствуйте! X-Spider нашел уязвимость "Атака Anti DNS Pinning (DNS rebinding)": Атака Anti DNS Pinning (DNS rebinding) позволяет злоумышленнику манипулировать соответствием между IP-адресом и DNS-именем узла (FQDN) с целью запуска активного содержимого в контексте безопасности уязвимого сайта. Используя эту технику злоумышленник может использовать браузер жертвы для получения доступа к защищенным сайтам (например, находящимся за межсетевыми экранами или требующим аутентификации). В отличии от атаки типа «Подделка межсайтового запроса» (Cross-Site Request Forgery, CSRF), атака Anti DNS Pinning направлена на получение данных (нарушение конфиденциальности) а не на выполнение каких-либо действий с приложением (нарушение целостности). Но совместно с CSRF, атака Anti DNS Pinning может использоваться для полнофункционального доступа к Web-приложению через браузер пользователя.
Удалите виртуальные сайты «по умолчанию», отвечающие на HTTP-запросы с произвольным значением заголовка HOST. В IIS для этого надо установить непустое значение «Host header value» для всех Web-сайтов. В Apache необходимо установить непустое значение директивы ServerName для всех виртуальных сайтов и проверить что сайт по умолчанию ни указывает на другие сайты, а возвращает ошибку.

Не понял последнее предложение, есть два вопроса:

вопрос 1 - как установить непустое значение директивы ServerName для всех виртуальных сайтов

вопрос 2 - что подправить в конфиге и как проверить что сайт по умолчанию ни указывает на другие сайты, а возвращает ошибку.

Спасибо...
 
Цитата
Serguntschik пишет:
вопрос 1 - как установить непустое значение директивы ServerName для всех виртуальных сайтов

вопрос 2 - что подправить в конфиге и как проверить что сайт по умолчанию ни указывает на другие сайты, а возвращает ошибку.

Прочитать документацию на Веб-сервер Apache. Или отказаться от работы системного администратора.
 
Цитата
Serguntschik пишет:
Не понял последнее предложение, есть два вопроса:

вопрос 1 - как установить непустое значение директивы ServerName для всех виртуальных сайтов

вопрос 2 - что подправить в конфиге и как проверить что сайт по умолчанию ни указывает на другие сайты, а возвращает ошибку.

отказаться от использования "<VirtualHost _default_:*>"
 
Цитата
Dmitry Evteev пишет:


отказаться от использования "<VirtualHost _default_:*>"

У меня нет такой директивы ни в httpd.conf, ни в extra/httpd-default.conf, ни в extra/httpd-vhosts.conf

Цитата
Прочитать документацию на Веб-сервер Apache. Или отказаться от работы системного администратора.

Я не профессионал и не работаю системным администратором, поэтому здесь на форуме и задаю вопросы специалистам.
 
Цитата
Serguntschik пишет:
У меня нет такой директивы ни в httpd.conf, ни в extra/httpd-default.conf, ни в extra/httpd-vhosts.conf
она может быть и не такой.
может быть, например:
Код
<VirtualHost *:80>
 
Цитата
она может быть и не такой.
может быть, например:
Код
<VirtualHost *:80>

такая директива есть. Как ее правильно прописать? <VirtualHost мой_сайт.ру:80> Таким образом?
 
Ай, елки,сам разобрался, <VirtualHost me_host:80>
 
Прописал в конфиг файле директиву для сайта <VirtualHost me_host:80>, снова сканирую Х-Спайдером, результат тот же:

Описание:
Атака Anti DNS Pinning (DNS rebinding) позволяет злоумышленнику манипулировать соответствием между IP-адресом и DNS-именем узла (FQDN) с целью запуска активного содержимого в контексте безопасности уязвимого сайта. Используя эту технику злоумышленник может использовать браузер жертвы для получения доступа к защищенным сайтам (например, находящимся за межсетевыми экранами или требующим аутентификации). В отличии от атаки типа «Подделка межсайтового запроса» (Cross-Site Request Forgery, CSRF), атака Anti DNS Pinning направлена на получение данных (нарушение конфиденциальности) а не на выполнение каких-либо действий с приложением (нарушение целостности). Но совместно с CSRF, атака Anti DNS Pinning может использоваться для полнофункционального доступа к Web-приложению через браузер пользователя.

Решение:
Удалите виртуальные сайты «по умолчанию», отвечающие на HTTP-запросы с произвольным значением заголовка HOST. В IIS для этого надо установить непустое значение «Host header value» для всех Web-сайтов. В Apache необходимо установить непустое значение директивы ServerName для всех виртуальных сайтов и проверить что сайт по умолчанию ни указывает на другие сайты, а возвращает ошибку.

Ссылки:
https://www.blackhat.com/presentations/bh-usa-07/Byrne/Presentation/bh-usa-07-byrne.pdf
http://www.servletsuite.com/servlets/hostflt.htm
http://ha.ckers.org/blog/20060908/dns-pinning-just-got-worse/
 
покажите конфигурацию вашего хоста.
Директивы ServerName и ServerAliace как выглядят?
 
ServerName site.ru
ServerAlias www.site.ru
 
если после изменения конфигов делали веб-серверу reload, возможно стоит попробовать таки reboot?
 
reboot-ом и перегружал, та же хрень. Написал письмо в ПозитивТехнолоджиз, мол, как избавиться от уязвимости, а они спрашивают, что у вас не получается конкретно... я в затупе, не могу конкретизировать, т.к. не понимаю, что делать, то ли конфиг подправить, то ли IDS устанавливать, то ли PF настраивать? По ссылкам полазил, насколько смог разобрать буржуйский язык, предлагают IDS поставить... х.з. короче
 
Не надо никаких IDS. Вышлите в PS свои конфиги апача и текст ошибки. Может, правда где-нибудь их недоработка.
От себя могу еще посоветовать добавить в конце объявления виртхостов
Код
<VirtualHost _default_:*> 
    ServerName non-existent-host 
    DocumentRoot /home/non-existent-host/www 
</VirtualHost> 

Тогда обращение к незаданному явно хосту точно выдаст ошибку.
Изменено: f_s_b_37 - 13.09.2010 12:34:10 (ббкод)
 
123
Изменено: Марго Манкаев - 23.09.2016 15:13:47
 
Отвечали же выше..
надо отдавать ошибку при запросе с неизвестным хостнейм..
Пример решения, в апаче, при настроенном виртуалхосте один сообщением выше дал f_s_b_37
 
закрыт
Изменено: Марго Манкаев - 23.09.2016 15:15:08
 
Цитата
Изменено
Изменено: Марго Манкаев - 23.09.2016 15:15:35
 
Ищите почему не работает...
Например на апаче не настроены нейм-бейсед виртуальные хосты.. О чем я кстати писал в своей предыдущей мессаге.

А если честно - забейте...
Уязвимость из разряда теоретических. Если у вас на сайте нет каких то особо секретных данных, врядли кто то будет ламать через нее.
Ибо если бы такие данные были бы, то врядли бы за сервер назначили ответственным человека со столь низкой квалификацией. Пишу как есть. Не обижайтесь. Все мы когда то начинали с малого. Но в тот момент никто сверхсекретные данные нам не доверял...
 
не
Изменено: E К - 15.12.2012 22:24:05
 
и
Изменено: E К - 15.12.2012 22:23:49
Страницы: 1 2 След.
Читают тему (гостей: 1)