发布:2017年8月21日,13:49 UTC
更新:2018年4月23日在15:25 UTC
众所周知,某些网站很容易受到IP地址欺骗的影响,因为beplay体育能用吗他们信任像X-Forwhered-For的用户提供的HTTP标头,可以准确指定访问者的IP地址。但是,直到最近,还没有广为人知的可靠方法来识别这种漏洞。在我最近破裂镜头研究,我注意到可以通过欺骗域名而不是原始IP地址来识别此漏洞,并观察服务器是否试图将此域解析为IP地址。
Burp Suite已经使用旨在记录DNS查找的服务器发货Burp合作者,因此,为了帮助社区追捕我发布的这个脆弱性到处都是合作者,一种自动将此技术应用于所有出站流量的开源扩展。例如,对http://example.com/的简单请求将被重写为:
获取 / http / 1.1
主持人:example.com
X-Forward-For:uniq-id.burpcollaborator.net
true-lient-ip:uniq-id.burpcollaborator.net
X-Real-IP:uniq-id.burpcollaborator.net
鉴于此博客文章的标题,您可能已经发现了我的错误。发布此工具后不久,我们收到了一封名为“您的Amazon EC2滥用报告”的电子邮件,声称BurpCollaborator.net试图通过爆炸密码来破解某人的网站。beplay体育能用吗
这种说法显然是错误的,因为Burp合作者从未启动与外部服务器的联系,但进一步认为这是完全合理的。有人使用Burp Suite在网站上违反密码,这是一个完全有效的用例。beplay体育能用吗问题是,用户到处都安装了合作者,并且服务器容易受到IP欺骗的影响,因此它将攻击误导到ID.BURPCOLLABORATOR.NET,该攻击在我们的服务器上以52.16.21.24解决。用户可能已被授权进行攻击,但52.16.21.24当然不是,因此生成了这种滥用报告。
Burp Suite是一种进攻性安全工具,因此,通过在各地发布合作者,我将有效地构建Burpcollaborator.net,以在数以千计的网站上进行数百次同时攻击。beplay体育能用吗更糟糕的是,其中一些网站将托管在私人内部网络上,因此beplay体育能用吗从burpcollaborator.net对它们的明显攻击将使我们看起来像我们进入他们的基础架构,现在正试图转移。
为了解决这个问题,我到处都使合作者使用特殊的关键字子域-spoofed.uniq-id.burpcollaborator.net。该领域总是解决127.0.0.1,以确保不会将滥用报告发送给我们或无辜的旁观者,并且还提供了视觉上的指示。由于这个问题可能会损害BurpCollaborator.net,因此我们撤销了各地的旧合作者。这意味着,如果您是各地的合作者,则需要重新启动BURP并通过BAPP商店安装固定版本。
事后看来,这个设计缺陷是显而易见的,但是个人课程。当研究成功时,太容易让热情蚀了潜在的危害和副作用。