%01 warty $3000 - odczyt źródeł aplikacji na Tomcacie

30 września 2016, 21:06 | W biegu | 1 komentarz
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Ciekawy wpis dotyczący bugbounty, z przyznaną nagrodą $3 000.

W ciekawy sposób można było odczytywać kod źródłowy plików .jsp (i innych), po prostu dodając znak %01 (start of heading jakby ktoś nie wiedział ;P) na koniec URL-a:

https://www.victim.tld/password.jsp%01

Sprawdźcie lepiej czy Wasze application serwery nie pozwalają na taki 'ficzer'.

--ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. MoroS

    Raczej: sprawdźcie kiedy ostatnio aktualizowaliście swoje aplikacje, bo jak używacie jeszcze JSP, to dług technologiczny jest potężny. ;)

    Odpowiedz

Odpowiedz