Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Pós-Execução de Redireccionamento (EAR)

    Enviado por

    Ricardo de Paula
    5 visualizações1 página
    ear.

    Título original

    Pós-execução de Redireccionamento (EAR)

    Direitos autorais

    © © All Rights Reserved

    Formatos disponíveis

    TXT, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    ear.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato TXT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    5 visualizações1 página

    Pós-Execução de Redireccionamento (EAR)

    Enviado por

    Ricardo de Paula
    ear.

    Direitos autorais:

    © All Rights Reserved
    Baixe no formato TXT, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 1

    Pós-execução de redireccionamento (EAR)

    Visão Geral

    Pós-execução de redirecionamento (EAR) é um ataque onde um atacante ignora os


    redirecionamentos e recupera o conteúdo sensível destinado a usuários autenticados.
    Um exploit EAR bem sucedida pode levar ao completo comprometimento do aplicativo.

    Como testar Vulnerabilidades EAR

    Usando a maioria dos proxies é possível ignorar redirecionamentos e mostrar o que é


    retornado. Neste teste usamos Burp Proxy.

    1 - Intercepte um pedido (requisição) https://vulnerablehost.com/managment_console


    2 - Envie para o repetidor.
    3 - Veja a resposta.

    Como evitar vulnerabilidades EAR

    Terminação adequada deve ser realizada após redirecionamentos. Em uma função de


    retorno deve ser realizada. No deve ser realizada em outras instâncias de funções,
    tais como morrer (). Isto irá dizer que o aplicativo terminar, independentemente de
    se a página é redirecionada ou não.

    Você também pode gostar