Cacti chyba najlepsze lata ma za sobą (ktoś z Was używa?)… …jednak warto przyjrzeć się podatnościom, które właśnie zostały ujawnione. 1. Po pierwsze do serwera Cacti mogą podłączyć się tylko „zaufani” klienci. cacti/remote_agent.php if (!remote_client_authorized()) {print 'FATAL: You are not authorized to use this service’;exit;} Jak sfałszować swój adres IP…
Czytaj dalej »
Podatność została załatana w listopadzie 2020r. a sprowadzała się do braku sprawdzenia uprawnień przez Facebooka. W ramach przykładu, badacz pokazał jak można by stworzyć „lewy” wpis na oficjalnej stronie Facebooka informujący że Facebook zwraca na konto podwojoną kwotę wpłaconą do nich w Bitcoinach: Jak można było to zrobić? Wystarczyło przygotować…
Czytaj dalej »
Tym razem mamy do czynienia z podatnoscią klasy Path Traversal: A vulnerability in the web services interface of Cisco Adaptive Security Appliance (ASA) Software and Cisco Firepower Threat Defense (FTD) Software could allow an unauthenticated, remote attacker to conduct directory traversal attacks and obtain read and delete access to sensitive…
Czytaj dalej »
W dzisiejszym odcinku #vulnz, mamy coś nieco bardziej skomplikowanego. Pewnie w wielu z Was kojarzy funkcję loguj się z wykorzystaniem Facebooka: Instagram, Netflix, Spotify czy rodzimy Wykop – to tylko kilka przykładów. Jak to działa? Na początek musimy jednorazowo potwierdzić, że chcemy korzystać z tej funkcji (jesteśmy przekierowani z danego serwisu…
Czytaj dalej »
