Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

NULL NaN undef 1#QNAN 0xffffffff ヽ༼ຈل͜ຈ༽ノ ヽ༼ຈل͜ຈ༽ノ Ṱ̺̺̕o͞ ̷i̲̬͇̪͙n̝̗͕v̟̜̘̦͟o̶̙̰̠kè͚̮̺̪̹̱̤ i masa innych niebezpiecznych ciągów znaków

17 listopada 2018, 12:40 | W biegu | komentarze 2

Ciekawa, ciągle aktualizowana baza „podejrzanych” ciągów znaków, czyli takich które dość często stwarzają rozmaite problemy. Autor projektu jako rozgrzewkowy przykład podaje użycie tzw. zero-width space, który na Twitterze daje (dawał) internal server error…

Twitter…

Pamiętajcie żeby tych nazw nie stosować np. jako nazw użytkowników, a dla (pen) testerów to idealne miejsce, z którego można czerpać jako źródło dla swojej bazy podstawowego fuzzingu.

Baza podzielona jest na kategorie: m.in. częste słowa „zarezerwowane”, operacje matematyczne, sztuczki w Unicode, ciągi znaków „skorumowane” ;), czy wreszcie podstawowe testy na poważniejsze podatności – np. wykonanie kodu w OS.

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. gosc

    Brakuje fork bomby w rożnych językach programowania.
    i pewnie jeszcze wielu rzeczy.

    Odpowiedz
  2. Piotr

    Nie jestem mega programistą, raczej prostym, bo zajmuję się systemami, ale przecież to oczywiste skąd się tę błędy biorą, gdyż takie same cyrki mogę zrobić w konsoli. W momencie kiedy wysyłany jest tekst (string) do systemu, programista powinien zawsze doklejać mu „uszy”, tak by całość traktowana była jako ciąg znaków, w przeciwnym razie gdzieś się „eskejupuje” i idzie już jako komenda/polecenie. W basku nie takie cyrki można robić, wystarczy wykonać more/less/cat na niewłaściwym pliku, też efekty są ciekawe.

    Odpowiedz

Odpowiedz