Lekcja demo

Poniżej znajdziesz przykładową lekcję ze szkolenia Bezpieczny Programista. Lekcja pochodzi z modułu SSRF i dotyczy tematu DNS Rebinding.

Filmy w kursie to nie tylko wstęp teoretyczny do zagadnienia. Zobaczysz też jak krok po kroku rozwiązać ćwiczenia. Pod nagraniem znajdziesz również streszczenie, do którego możesz łatwo potem wrócić.

W filmie możesz zobaczyć jak wygląda przykładowe ćwiczenie. Ćwiczenia uruchamiasz na swoim komputerze przy użyciu narzędzia Docker.

Kurs możesz kupić w moim sklepie. Masz pytanie? [email protected].

DNS Rebinding

• Standardowo, kiedy chcesz wyświetlić jakąś stronę w przeglądarce, to najpierw w tle system operacyjny wysyła zapytanie do serwera DNS, aby poznać adres IP serwera, z którym ma się połączyć.
• Normalnie za każdym razem serwer zwraca ten sam adres IP.
• Ale niekoniecznie musi to tak wyglądać. Możemy to wykorzystać w ataku DNS Rebinding.
• Serwer DNS za pierwszym razem zwraca adres X, a za drugim razem adres Y.
• Można to wykorzystać, jeśli aplikacja sprawdza podany przez użytkownika adres tylko raz.
• Za pierwszym razem bowiem serwer DNS zwróci adres X, który nie znajduje się na "czarnej liście". Aplikacja pozwoli więc na używanie tego adresu i zapisze go sobie "na później".
• Za drugim razem natomiast serwer zwróci inny adres Y. A on może prowadzić w zupełnie inne miejsce niż adres X.