Профессионалы провели анализ уязвимостей в знаменитых средствах автоматизации атак на базе веб-интерфейсов. Исследованию подверглись такие знаменитые комплексы как Neon, Eleonore, Liberty, Lucky и Yes.
Осматриваемые комплексы автоматизации атак как верховодило состоят из комплекта эксплоитов к знаменитым уязвимостям и веб-интерфейса, облегчающего управление и мониторинг процесса инфицирования скомпрометированных систем.
Традиционно, такие комплексы продаются либо сдаются в аренду на хакерских форумах, где стоимость может достигать нескольких тыщ баксов США, в зависимости от комплектации и комплекта функций. Но существует миф, что разработкой таковых средств занимаются группы пионеров-хакеров, которые занимаются "завёртыванием" имеющихся эксплоитов в эргономичный веб-интерфейс. Конкретно этот миф и попробовали выучить исследователи.
Итог анализа подтвердил наличие множественных уязвимостей в осматриваемых средствах автоматизации атак. Всего было найдено 13 разных уязвимостей, которые дозволяли бы получить права администратора системы, произвести инъекцию HTML-кода, выполнить случайный SQL-запрос. В пакетах эксплоитов NEON и Liberty были обнаружены способности проведения XSS+XSRF атаки и SQL-инъекции.
Безграмотная система распределения прав доступа к файлам комплекса YES дозволяет получить неавторизированный доступ к данным комплекса, а оплошности в его веб-интерфейсе провести XSS+XSRF атаку и выполнить SQL-инъекцию.
Комплекс автоматизации атак Lucky оказался наиболее устойчив к осмотренным выше атакам, но в нем были обнаружены способности неавторизированного удаленного управления. Один из знаменитейших комплектов эксплоитов Eleonore также может похвалиться множественными XSS уязвимостями и возможностью проведения SQL-инъекции. Таковым образом, миф о недостающем образовании разрабов пакетов эксплоитов с веб-интерфейсом оказался сущьностью.
[mod][Ar3s] Знаю что новость не свежа, но разместил ее здесь не с целью напоминания. Кто Осведомлен о том КАКИЕ конкретно модули уязвимы в этих связках?
м.б. есть готовые решения по юзанью?[/mod]
Осматриваемые комплексы автоматизации атак как верховодило состоят из комплекта эксплоитов к знаменитым уязвимостям и веб-интерфейса, облегчающего управление и мониторинг процесса инфицирования скомпрометированных систем.
Традиционно, такие комплексы продаются либо сдаются в аренду на хакерских форумах, где стоимость может достигать нескольких тыщ баксов США, в зависимости от комплектации и комплекта функций. Но существует миф, что разработкой таковых средств занимаются группы пионеров-хакеров, которые занимаются "завёртыванием" имеющихся эксплоитов в эргономичный веб-интерфейс. Конкретно этот миф и попробовали выучить исследователи.
Итог анализа подтвердил наличие множественных уязвимостей в осматриваемых средствах автоматизации атак. Всего было найдено 13 разных уязвимостей, которые дозволяли бы получить права администратора системы, произвести инъекцию HTML-кода, выполнить случайный SQL-запрос. В пакетах эксплоитов NEON и Liberty были обнаружены способности проведения XSS+XSRF атаки и SQL-инъекции.
Безграмотная система распределения прав доступа к файлам комплекса YES дозволяет получить неавторизированный доступ к данным комплекса, а оплошности в его веб-интерфейсе провести XSS+XSRF атаку и выполнить SQL-инъекцию.
Комплекс автоматизации атак Lucky оказался наиболее устойчив к осмотренным выше атакам, но в нем были обнаружены способности неавторизированного удаленного управления. Один из знаменитейших комплектов эксплоитов Eleonore также может похвалиться множественными XSS уязвимостями и возможностью проведения SQL-инъекции. Таковым образом, миф о недостающем образовании разрабов пакетов эксплоитов с веб-интерфейсом оказался сущьностью.
[mod][Ar3s] Знаю что новость не свежа, но разместил ее здесь не с целью напоминания. Кто Осведомлен о том КАКИЕ конкретно модули уязвимы в этих связках?
м.б. есть готовые решения по юзанью?[/mod]
Да и собственно скулинж нахрен сдался.. разве что за статой подглядывать 
