Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book
RCE w aplikacji opartej o Node.js (Kibana & Prototype Pollution & CVE-2019-7609)
Historia zaczęła się od niewinnego maila uczestnika jednego z naszych szkoleń
hej, mam tu taką fajną podatność – jest Node.js i Kibanę, może fajnie byłoby pokazać jak tu realnie wykonać dowolny kod na systemie operacyjnym?
Michał Bentkowski stwierdził: challenge accepted, szczególnie że cała sprawa wiązała się z dość mało znaną klasą podatności: Prototype Pollution. Exploit był gotowy po paru dobrych dniach, a na tegorocznym OWASP Day Michał całość zaprezentował. Macie tutaj dostępne w zasadzie wszystkie szczegóły, z wieloma filmikami.
Więcej info niedługo na research.securitum.com (@securitum_com).
Kibana
–ms
Byłem na OWASP Poland Day, widziałem prezentację. Bez przynudzania, jasno i na temat. Dobra robota Panie Michale!