Jump to content

Брокерское вливание

Атака с внедрением брокера — это тип уязвимости , которая использует неправильно настроенные брокеры, потенциально позволяя злоумышленнику читать, записывать и вводить информацию из/в их поток.

Описание

[ редактировать ]

Существует множество сценариев, в которых брокер используется для транспортировки информации между задачами.

Один из наиболее типичных вариантов использования — отправка электронной почты в фоновом режиме. В этом сценарии у нас будет два актера:

  • Производитель информации (например, веб-сайт).
  • Рабочий или фоновый процесс, который фактически отправляет электронное письмо.

Производителю нужен асинхронный и неблокирующий способ отправки информации по электронной почте работнику.

Эта система обычно является брокерской. Он берет информацию из веб-интерфейса и передает ее работнику, создавая в нем новую задачу. Итак, у работника есть вся информация для отправки электронного письма.

Если взять приведенный выше сценарий в качестве примера, если бы мы могли получить доступ к брокеру, мы смогли бы заставить работника генерировать новые задачи с произвольными данными, запуская брокерскую инъекцию .

Имея это в виду, мы могли бы предпринять следующие атаки:

  • Перечисление удаленных задач.
  • Чтение содержимого удаленной задачи.
  • Внедрение задач в удаленные процессы.
  • Удаление удаленных невыполненных задач.

Источник

[ редактировать ]

Атака с внедрением брокера не нова, но у нее не было названия. Это имя было придумано Даниэлем Гарсиа (cr0hn) на конференции RootedCON 2016 в Испании .

См. также

[ редактировать ]


[ редактировать ]
Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 285e51d36ad42c6535201943c7d4f7ff__1714599660
URL1:https://arc.ask3.ru/arc/aa/28/ff/285e51d36ad42c6535201943c7d4f7ff.html
Заголовок, (Title) документа по адресу, URL1:
Broker injection - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)