Предисловие

Непрерывные обновления: систематизируйте уязвимости, обнаруженные в ходе тестирования на проникновение (включая описание уязвимостей, уровень уязвимости, проверку уязвимостей и предложения по устранению). Мы не будем углубляться в различные методы постэксплуатации или обхода уязвимостей. Процесс проверки уязвимостей не ограничивается. статьи Способ в котором может доказать наличие уязвимости.

0x01 Описание уязвимости

- Утечка внутреннего IP-адреса -

IP-адреса интрасети часто появляются в сообщениях об ошибках, генерируемых веб-приложениями/серверами, или в комментариях HTML/JavaScript и частичных ссылках перехода на страницы. Собирая информацию о веб-сайте и обнаруживая IP-адреса, используемые в его интрасети (например, сегменты IP-адресов интрасети, IP-маршрутизацию и т. д.), злоумышленники могут помочь злоумышленникам провести атаки на сетевом уровне, направленные на проникновение во внутреннюю инфраструктуру организации. RFC 1918 определяет диапазон IP-адресов, зарезервированных для частных сетей, которые нельзя маршрутизировать в общедоступном Интернете. Внутренние IP-адреса определяются как следующие диапазоны IP-адресов:

1. Диапазон адресов класса A [10.0.0.0—10.255.255.255]
2. Диапазон адресов класса B [172.16.0.0–172.31.255.555]
3. Диапазон адресов класса C [192.168.0.0–192.168.255.255]

уровень уязвимости 0x02

0x03 Проверка уязвимости

Тест показал, что адрес перехода HTTP-заголовка веб-сайта содержал IP-адрес интрасети.

Тест показал, что содержимое файла ресурсов JS веб-сайта содержало утечку IP-адреса интрасети.

Тест показал, что из URL-адреса перехода на страницу веб-сайта произошла утечка IP-адреса интрасети.

исправление ошибки 0x04

1. Разработчикам рекомендуется не включать IP-адреса интрасети в комментарии исходного кода.
2. Правильно настройте WEB-сервер и запретите передачу IP-адресов интрасети при взаимодействии данных.
3. Отключите подробные сообщения об ошибках при проблемах в веб-приложениях/серверах и настройте страницы ошибок, чтобы предотвратить утечку информации об ошибках.
4. Удалить портативную интрасеть IP Обратитесь к странице и сформулируйте полную стратегию кодирования безопасности, а также быстро проверьте, содержит ли существующий код страницы внутренние IP Проблема решения.