Vlákno názorů k článku JavaScript může přistoupit do vnitřní sítě a obejít same-origin policy od Cuba++ - pfSense má obranu proti DNSRebind attakům viz: https://docs.netgate.com/pfsense/en/latest/dns/dns-rebinding-protections.html Konkrétně: rejects...
-
pfSense má obranu proti DNSRebind attakům viz:
https://docs.netgate.com/pfsense/en/latest/dns/dns-rebinding-protections.html
Konkrétně: rejects and logs addresses from upstream nameservers which are in the private IP ranges.
Když jsme dělali PoC a pak přímo úlohy pro CTF, tak jsme právě tuhle funkcionalitu museli vypínat, jinak by PoC neprošlo :-)
-
Kam ten firewall nasadíte, koho tím ochráníte a co tím zboříte?
* Nasadit na stanici znamená zbořit lokální DNS. (Myšleno DNS záznamy, které legitimně ukazují do lokální sítě.) Ledaže bychom je nějak whitelistovali.
* Nasadit někam do sítě je sice kompatibilní s lokálním DNS (pokud někdo lokální DNS ovšem neobejde), ale pro přenosná zařízení to není 100 % – útok mohu začít v cizí síti a dokončit ve firemní, kde už nepotřebuju DNS.
* Navíc tu je jinde nastíněný problém s IPv6…
ČLÁNKY DO MAILU