Команда /tool fetch mode=https url="https://yandex[.]ru/Cphzp2XC7Q02VExgJtvysup9dHTCN9A0?init" http-method=get
без import делает просто GET запрос, а не выполняет полученные по этому URL инструкции. При этом у запроса будет характерный User-Agent, а значит, для атаки использоваться не может (легко режется).
Здравствуйте, Сергей.
Меня зовут Эльдар, я работаю в команде безопасности Яндекса.
Прошу прощения за то, что не ответили на письмо в «Охоту за ошибками». Мы его разобрали, но на этапе ответа на обращение случился организационный баг — письмо не было отправлено. Проведём работу над ошибкой.
Как вы верно подметили в посте, эту особенность сложно назвать уязвимостью. Мы думали, как сделать настройку более безопасной и не менее удобной для пользователя — самым приемлемым вариантом (в первую очередь, из-за длины ключей и размера шифротекста) показалось использование для обмена сессионными ключами алгоритма ECDH, однако взвесив риски и возможные неудобства, остановились на текущем алгоритме.
Для нас это первый опыт школы Информационной Безопасности, однако, не первый опыт школ вообще. У Яндекса уже есть Школа разработки интерфейсов, Школа дизайна, КИТ итд. Обучение в них строится не на просмотре лекций, но на непосредственном общении с сотрудниками Компании, экспертами в своей области. Мы считаем такой подход наиболее эффективным.
To guard against what Chris was
contemplating, many high-end stores require the checkout
clerk to physically type the last four digits from the face of
the credit card; the point-of-sale terminal rejects the card,
or worse, if the digits don’t match what’s on the stripe. A
reprogrammed card was only good at spots where
employees never get to lay their hands on the plastic, like
gas stations or drugstores.
В переводе потерялся смысл.
В дорогих магазинах существуют некоторые меры предосторожности — последние четыре цифры номера карты вводит сотрудник; когда цифры не совпадают с кодом магнитной полосы, некоторые POS терминалы отказывают в операции, или хуже того. Перепрограммированные карточки были полезны только там, где ты сам управляешься со своей карточкой — на автозаправках или в аптеках.
Т.е. запросы к DNS оно тоже перехватывает и обрабатывает на уровне драйвера?
А что бывает в случаях, когда на ресурсе включен
Content Security Policy в блокирующем режиме?
Да ;) На самом деле можно научить AFL делать close, можно сделать как-нибудь умнее завязавшись на persistent mode AFL, цель этой статьи — howto того как можно попробовать использовать фаззер.
Многопоточного режима нет, но можно делать распределенный фаззинг + есть persistent режим, когда стартует один процесс, но тогда нужно в обертке самому чистить все используемые переменные для каждого входа.
Штош.
Всё верно - важно лишь прислать решения до deadline'а.
Ограничений по возрасту для участия в Школе нет.
Оценивается присланная анкета и выполненное задание.
Команда
/tool fetch mode=https url="https://yandex[.]ru/Cphzp2XC7Q02VExgJtvysup9dHTCN9A0?init" http-method=getбез import делает просто GET запрос, а не выполняет полученные по этому URL инструкции. При этом у запроса будет характерный User-Agent, а значит, для атаки использоваться не может (легко режется).
Меня зовут Эльдар, я работаю в команде безопасности Яндекса.
Прошу прощения за то, что не ответили на письмо в «Охоту за ошибками». Мы его разобрали, но на этапе ответа на обращение случился организационный баг — письмо не было отправлено. Проведём работу над ошибкой.
Как вы верно подметили в посте, эту особенность сложно назвать уязвимостью. Мы думали, как сделать настройку более безопасной и не менее удобной для пользователя — самым приемлемым вариантом (в первую очередь, из-за длины ключей и размера шифротекста) показалось использование для обмена сессионными ключами алгоритма ECDH, однако взвесив риски и возможные неудобства, остановились на текущем алгоритме.
Спасибо.
наоборот (даже по тесту видно)
подробнее:
www.imperialviolet.org/2015/10/17/boringssl.html
В переводе потерялся смысл.
А что бывает в случаях, когда на ресурсе включен
Content Security Policy в блокирующем режиме?
2. тот кто делает MiTM может направить домен на свой IP
Многопоточного режима нет, но можно делать распределенный фаззинг + есть persistent режим, когда стартует один процесс, но тогда нужно в обертке самому чистить все используемые переменные для каждого входа.