tonynuc
06-02-2008, 11:43 AM
เห็นมีคนพูดถึงเรื่องการ hack web browser ด้วย xss, csrf, code injection, etc เยอะแล้ววันนี้ขอพูดถึงการใช้ webserver ในการ hack internal server ที่เราไม่มีสิทธิ์เข้าถึงตรงๆ เช่นเป็น private ip และกั้นด้วย firewall
ลองคิดดูว่าเราสามารถใช้ webserver ที่อยู่ข้างนอก (มี public ip) ในการโจมตี server ข้างในได้ (private ip) โดยอาศัย CSRF และ HTTP GET method ทำให้เราสามารถเข้าถึงใน area ที่ไม่ควรจะเข้าได้ (เพราะมี firewall กัั่นและทำ NAT)
เนื่องจากเวลาจำกัด ขออธิบายด้วยรูปละกันนะครับ:
http://pic.citecclub.org/out.php/i1986_post65741202272983.jpg
**Hidden Content: Check the thread to see hidden data.**
ลองคิดดูว่าเราสามารถใช้ webserver ที่อยู่ข้างนอก (มี public ip) ในการโจมตี server ข้างในได้ (private ip) โดยอาศัย CSRF และ HTTP GET method ทำให้เราสามารถเข้าถึงใน area ที่ไม่ควรจะเข้าได้ (เพราะมี firewall กัั่นและทำ NAT)
เนื่องจากเวลาจำกัด ขออธิบายด้วยรูปละกันนะครับ:
http://pic.citecclub.org/out.php/i1986_post65741202272983.jpg
**Hidden Content: Check the thread to see hidden data.**