Как фаза Detect работает с маркерами

Маркеры являются важным инструментом, помогающим проверять срабатывание тестовых запросов. Маркеры могут включаться в значение большинства параметров секции detect.

На текущий момент в расширениях FAST реализована поддержка следующих маркеров:

• Строковый маркер STR_MARKER представляет собой строку, состоящую из случайных символов.

  При передаче STR_MARKER в полезной нагрузке, факт ее обнаружения в ответе на запрос может использоваться в качестве признака того, что атака на целевое приложение была успешна.

  Поскольку значение маркера — случайная строка, присутствие маркера в ответе на запрос позволяет убедиться, что это действительно ответ сервера на запрос, эксплуатирующий уязвимость.

  Например, отслеживание факта наличия alert в HTML-разметке ответа необязательно означает присутствие уязвимости: сервер может сгенерировать <alert> самостоятельно. Присутствие же alert (STR_MARKER) в ответе означает, что это ответ на тестовый запрос с полезной нагрузкой, включающей в себя строковый маркер (т.е. произошла успешная эксплуатация уязвимости).

  Строковый маркер чаще всего применяется при эксплуатации XSS-уязвимостей.

• Числовой маркер CALC_MARKER представляет собой арифметическое выражение, которое может быть вычислено в ходе эксплуатации уязвимости.

  При передаче CALC_MARKER в полезной нагрузке, факт обнаружения в ответе на запрос вычисленного значения выражения CALC_MARKER может использоваться в качестве признака того, что атака на целевое приложение была успешна.

  Числовой маркер чаще всего применяется при эксплуатации RCE-уязвимостей.

• DNS-маркер DNS_MARKER представляет собой случайно сгенерированное доменное имя вида abc123.wlrm.tl. Целевое приложение может попытаться разрешить это имя в IP-адрес.

  При передаче DNS_MARKER в полезной нагрузке, факт обнаружения DNS-запроса к сгенерированному имени домена может использоваться в качестве признака того, что атака на целевое приложение была успешна.