Najlepsze techniki hakerskie 2010 roku - top 10

4. Atak na protokół HTTPS przez wstrzyknięcie cache (Elie Bursztein, Baptiste Gourdin, Dan Boneh) - "wstrzyknięcie" groźnej biblioteki JavaScript do pamięci podręcznej przeglądarki pozwala napastnikowi atakować strony internetowe chronione mechanizmem SSL.

5. Ominięcie ochrony przed atakiem CSRF z wykorzystaniem technik: Clickjacking i HTTP Parameter Pollution (Lavakumar Kuppan). Mechanizm ochrony przed atakami CSRF (cross-site request forgery, atak polegający na użyciu przeglądarki do ataku na inną aplikację, do której atakujący nie ma dostępu) może zostać ominięty. Użytkownik - wprowadzony w błąd atakiem typu clickjacking (kliknięcie przycisku czy łącza na witrynie znanej i uważanej za bezpieczną inicjuje szkodliwą akcję) podaje adres e-mail, co może posłużyć atakującemu do zresetowania haseł dostępu do różnych usług.

6. Uniwersalne XSS w Internet Explorerze 8 - Internet Explorer 8 wyposażony jest w moduł ochrony przeciw atakom CSRF. Niestety powstał exploit zdolny do ominięcia tego mechanizmu i pozwalający przetwarzać strony WWW w niewłaściwy lub potencjalnie niebezpieczny sposób.

7. HTTP POST DoS (Wong Onn Chee, Tom Brennan.). Nagłówki HTTP POST są wysyłane do serwerów, informując je o ilości przesyłanych danych, po czym dane są wysyłane bardzo powoli, obciążając zasoby serwera. Im więcej takich pakietów wysyłanych jednocześnie, tym gorzej dla wydajności serwera.

8. JavaSnoop (Arshan Dabirsiagh) - Agent Java działający na maszynie testowej, komunikuje się z narzędziem JavaSnoop celem testu aplikacji w poszukiwaniu luk w zabezpieczeniach. JavaSnoop może równie dobrze być aplikacją pożyteczną jak i narzędziem hakera.

9. CSS informuje o historii przeglądania w Firefoksie (Robert Hansen). Kaskadowe arkusze stylów (CSS) mogą zostać wykorzystane do przechwycenia historii przeglądanych stron internetowych, zapisywanej przez przeglądarkę internetową. Wiedza o tym, gdzie zagląda internauta, mogłaby okazać się pomocna w zastawianiu na niego pułapek phishingowych.

10. Aplet Java i DNS Rebinding (Stefano Di Paola). Aplety Java kierują przeglądarkę internetową na strony WWW kontrolowane przez włamywacza, wymuszając na aplikacji ominięcie bufora DNS i czyniąc ją podatną na atak typu DNS rebinding (podmiana adresu IP domeny pomiędzy kolejnymi skierowanymi do niej żądaniami).

Szczegóły wszystkich ataków zostaną przedstawione na lutowej konferencji IT-Defence 2011.