NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
%01 warty $3000 – odczyt źródeł aplikacji na Tomcacie
Ciekawy wpis dotyczący bugbounty, z przyznaną nagrodą $3 000.
W ciekawy sposób można było odczytywać kod źródłowy plików .jsp (i innych), po prostu dodając znak %01 (start of heading jakby ktoś nie wiedział ;P) na koniec URL-a:
https://www.victim.tld/password.jsp%01
Sprawdźcie lepiej czy Wasze application serwery nie pozwalają na taki ‘ficzer’.
–ms
Raczej: sprawdźcie kiedy ostatnio aktualizowaliście swoje aplikacje, bo jak używacie jeszcze JSP, to dług technologiczny jest potężny. ;)