ارائه Apache Confusion Attacks از Orange Tsai 🔥

📌 یک ارائه تحقیقاتی اخیر در Black Hat USA 2024 آسیب‌پذیری‌های معماری را در Apache HTTP Server، که یکی از پرکاربردترین وب سرور ها است را آشکار کرد.

📌 این ارائه شامل 3 نوع حمله confusion و 9 آسیب پذیری جدید، 20 تکنیک بهره برداری و بیش از 30 مطالعه موردی است

‼️ این تحقیق 9 آسیب پذیری جدید را در سرور HTTP Apache کشف کرد، از جمله:

🚨 CVE-2024-38472 – Apache HTTP Server on Windows UNC SSRF
🚨 CVE-2024-39573 – Apache HTTP Server proxy encoding problem
🚨 CVE-2024-38477 – Apache HTTP Server: Crash resulting in Denial of Service in mod_proxy via a malicious request
🚨 CVE-2024-38476 – Apache HTTP Server may use exploitable/malicious backend application output to run local handlers via internal redirect
🚨 CVE-2024-38475 – Apache HTTP Server weakness in mod_rewrite when first segment of substitution matches filesystem path
🚨 CVE-2024-38474 – Apache HTTP Server weakness with encoded question marks in backreferences
🚨 CVE-2024-38473 – Apache HTTP Server proxy encoding problem
🚨 CVE-2023-38709 – Apache HTTP Server: HTTP response splitting
🚨 CVE-2024-?????? -هنوز این آسیب پذیری رفع نشده است

📎 لینک مقاله :
https://blog.orange.tw/posts/2024-08-confusion-attacks-en/

📎 لینک ویدیو ارائه در OrangeCon 2024 :
https://

www.youtube.com/watch?v=b

AHqEefF7Ok&list=PLTg6o6bglKLO6HGLCNBQX8dmiRUnUjWdX&index=11

دوستانی که در فیلد پنتست وب

یا باگ بانتی کار میکنن حتما مطالعه کنن چون نکات جالبی داره (البته بیشتر سعی کنید یسری چیزا به متودولوژی یا نکات تون ادد کنید) 🙂

دوستان رد تیم هم که خودشون میدونن این کار چقدر ارزشمنده ☕️

🛡 برای رفع این آسیب پذیری ها در سرور خود حتما به نسخه 2.4.62 ارتقاع بدید ، لینک خبر مربوط به نسخه پچ شده Apache :
https://downloads.apache.org

/httpd/Announcement2.4.html

📣 @Vip_Security
🌐

www.VipSecurity.zone