RCE w aplikacji opartej o Node.js (Kibana & Prototype Pollution & CVE-2019-7609)

16 października 2019, 20:30 | W biegu | 1 komentarz
: zin o bezpieczeństwie - pobierz w pdf/epub/mobi.

Historia zaczęła się od niewinnego maila uczestnika jednego z naszych szkoleń

hej, mam tu taką fajną podatność – jest Node.js i Kibanę, może fajnie byłoby pokazać jak tu realnie wykonać dowolny kod na systemie operacyjnym?

Michał Bentkowski stwierdził: challenge accepted, szczególnie że cała sprawa wiązała się z dość mało znaną klasą podatności: Prototype Pollution. Exploit był gotowy po paru dobrych dniach, a na tegorocznym OWASP Day Michał całość zaprezentował. Macie tutaj dostępne w zasadzie wszystkie szczegóły, z wieloma filmikami.

Więcej info niedługo na research.securitum.com (@securitum_com).

Kibana

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. pablo

    Byłem na OWASP Poland Day, widziałem prezentację. Bez przynudzania, jasno i na temat. Dobra robota Panie Michale!

    Odpowiedz

Odpowiedz