Как фаза Detect работает с маркерами
Маркеры являются важным инструментом, помогающим проверять срабатывание тестовых запросов. Маркеры могут включаться в значение большинства параметров секции detect
.
На текущий момент в расширениях FAST реализована поддержка следующих маркеров:
Строковый маркер
STR_MARKER
представляет собой строку, состоящую из случайных символов.При передаче
STR_MARKER
в полезной нагрузке, факт ее обнаружения в ответе на запрос может использоваться в качестве признака того, что атака на целевое приложение была успешна.Поскольку значение маркера — случайная строка, присутствие маркера в ответе на запрос позволяет убедиться, что это действительно ответ сервера на запрос, эксплуатирующий уязвимость.
Например, отслеживание факта наличия
alert
в HTML-разметке ответа необязательно означает присутствие уязвимости: сервер может сгенерировать<alert>
самостоятельно. Присутствие жеalert
(STR_MARKER
) в ответе означает, что это ответ на тестовый запрос с полезной нагрузкой, включающей в себя строковый маркер (т.е. произошла успешная эксплуатация уязвимости).Строковый маркер чаще всего применяется при эксплуатации XSS-уязвимостей.
Числовой маркер
CALC_MARKER
представляет собой арифметическое выражение, которое может быть вычислено в ходе эксплуатации уязвимости.При передаче
CALC_MARKER
в полезной нагрузке, факт обнаружения в ответе на запрос вычисленного значения выраженияCALC_MARKER
может использоваться в качестве признака того, что атака на целевое приложение была успешна.Числовой маркер чаще всего применяется при эксплуатации RCE-уязвимостей.
DNS-маркер
DNS_MARKER
представляет собой случайно сгенерированное доменное имя видаabc123.wlrm.tl
. Целевое приложение может попытаться разрешить это имя в IP-адрес.При передаче
DNS_MARKER
в полезной нагрузке, факт обнаружения DNS-запроса к сгенерированному имени домена может использоваться в качестве признака того, что атака на целевое приложение была успешна.
results matching ""
No results matching ""
results matching ""
No results matching ""