Laika ziņas
Šodien
Apmācies

Latvijā radīts kiberdrošības rīks, kas ļauj atklāt neredzamas ievainojamības sistēmās

Blind XSS (BXSS) pakalpojums ir piemērots kā izglītojošiem, tā profesionāliem sistēmu auditēšanas (ētisko hakeru jeb "ethical hacker") mērķiem un sistēmu testēšanai (pentesting).

Latvijā radītais pakalpojums BXSS atvieglo neredzamu IT sistēmu ievainojamību atklāšanu. Projekta līdzautori Nils Putniņš un Ritvars Timermanis ar šo risinājumu vēlas atvieglot sistēmu drošības auditoru darbu, paziņojot tiem par neredzamo ievainojamību izpildi. Kā piemērus minot banku, grāmatvedību, cilvēkresursu uzskaites un citas IT sistēmas, kur uzbrukuma izpilde var notikt pēc stundas, dienas, vai pat nedēļas.

Reģistrējoties un autorizējoties, lietotāji iegūst piekļuvi dažādām funkcijām. Viena no galvenajām priekšrocībām ir spēja ģenerēt neierobežotas unikālas adreses, nodrošinot ievērojamu elastību pārbaužu scenārijos. Papildus BXSS platforma atļauj lietotājiem izvēlēties starp dažādiem uzbrukumu vektoriem, kas ir sākot ar vienkāršākiem, līdz pašiem modernākajiem, ļaujot apiet drošības mehānismus (piem. WAF).

Šī pakalpojuma izcilā iezīme ir tā spēja nodrošināt savlaicīgus paziņojumus pētniekiem, kad tiek izmantota Blind XSS ievainojamība. Tas notiek vienlaikus ar vērtīgas informācijas, piemēram, vienotā resursa identifikatora (URI), ekrāna izmēra, laika joslas utt., sniegšanu. Visa šī informācija tiek ērti attēlota lietotājam draudzīgā informācijas panelī, lai atvieglotu auditora darbu informācijas interpretācijai un analīzei.

Turklāt BXSS pakalpojums piedāvā izvēlēties starp vairākiem augstākā līmeņa domēniem (TLDs). Šī īpašība turpina palīdzēt apiet drošības mehānismus, tādējādi ļaujot testēšanu turpināt pat gadījumos, kad atsevišķi uzbrukuma paņēmieni ir tikuši bloķēti.


Papildus rīkus, ko piedāvā BXSS pakalpojums, var izmantot arī, lai identificētu standarta (reflected) un saglabātas (stored) XSS ievainojamības, tādējādi paplašinot tā funkcionalitāti kā spēcīgu un daudzpusīgu drošības rīku. Tātad, BXSS ir nenovērtējams resurss tīmekļa lietojumprogrammu drošības nostājas uzlabošanai.


Projekta realizāciju atbalsta Latvijas kiberdrošības uzņēmums SEQ SIA.
 

Uzmanību!

Pieprasītā sadaļa var saturēt erotiskus materiālus, kuru apskatīšana atļauta tikai pilngadību sasniegušām personām.

Seko mums

Seko līdzi portāla Diena.lv jaunākajām ziņām arī sociālajos tīklos!

Ziņas e-pastā

Saņem Diena.lv aktuālās ziņas e-pastā!


Aktuāli


Reklāmraksti

Vairāk Reklāmraksti