Tag: deserializacja

0-day w serwerze aplikacyjnym WebLogic był jeszcze niedawno aktywnie wykorzystywany

06 maja 2019, 20:38 | W biegu | 1 komentarz

Podatność o niemal maksymalnym ryzyku (9.8/10 w skali CVE) została ostatnio załatana w nadzwyczajnym trybie. Można by sądzić że po tym opracowaniu, mającym już kilka lat – podatności klasy nieuwierzytelnione RCE w komponencie związanym z deserializacją nie powinny się już zdarzać w serwerach aplikacyjnych A tym czasem niespodzianka – mamy…

Czytaj dalej »

Czy deserializacja XML-a w .NET jest niebezpieczna? Microsoft załatał podatność w Sharepoint dającą dostęp na serwer(y)

22 marca 2019, 16:07 | W biegu | 0 komentarzy

Deserializacja danych od użytkownika prawie zawsze kończy się tragicznie (czy to Java, czy PHP czy Python) – czyli można w nieautoryzowany sposób wykonać dowolny kod w systemie operacyjnym. Podobnie jest w .NET przy czym warto pamiętać że deserializacja może być realizowana na ‚zwykłych’ XML-ach czy JSON-ach. Microsoft załatał tego typu…

Czytaj dalej »

Wysyp krytycznych błędów (RCE): JBoss, .NET Framework, WebShpere, WebLogic

13 listopada 2018, 19:48 | W biegu | 1 komentarz

Tym razem nie jest to jakaś skoordynowana pod względem jednej konkretnej podatności akcja (choć w kilku miejscach przewija się deserializacja). Na początek podatność (krytyczność 9.8/10) w RichFaces, który wchodzi w skład JBossa: The RichFaces Framework 3.X through 3.3.4 is vulnerable to Expression Language (EL) injection via the UserResource resource. A…

Czytaj dalej »

Używasz JMetera na serwerze? – niezałatane wykonanie kodu w OS

17 marca 2018, 10:05 | W biegu | 1 komentarz

JMeter to popularne narzędzie służące głównie do realizacji testów wydajnościowych. Można go uruchomić lokalnie, ale jeśli potrzebujemy zasymulować większą ilość ruchu, popularną instalacją jest wystartowanie wielu serwerów JMetera a następnie uruchomienie równoległych testów właśnie z tych serwerów. Jednak… w takiej instalacji możliwe jest zdalne wykonanie dowolnego kodu na serwerze a…

Czytaj dalej »

OWASP Top 10 – 2017 – finalna wersja

21 listopada 2017, 23:55 | Aktualności | 0 komentarzy
OWASP Top 10 –  2017 – finalna wersja

Po czterech latach dostępna jest nowa wersja dokumentu OWASP Top Ten – opisująca 10 największych ryzyk dotyczących bezpieczeństwa aplikacji webowych. Edycja 2017 wprowadza sporo rewolucji, jest to m.in. pojawienie się kilku zupełnie nowych kategorii ryzyk: XXE (na wysokiej pozycji czwartej), – o którym mamy już od dawana sporo informacji na…

Czytaj dalej »

Wykonanie dowolnego kodu na ekstremalnie popularnym: rubygems.org

11 października 2017, 16:08 | W biegu | 0 komentarzy

Jeśli miałeś cokolwiek do czynienia z Ruby – na pewno musiałeś spotkać się z serwisem rubygems.org: RubyGems.org is the Ruby community’s gem hosting service. Instantly publish your gems and then install them. Use the API find out more about available gems. Become a contributor and improve the site yourself. Twórcy serwisu chwalą się: 16,728,878,438 DOWNLOADS & COUNTING Robi wrażenie,…

Czytaj dalej »

.NET + JSON = zdalne wykonanie kodu na serwerze? Czasami tak…

25 września 2017, 11:30 | W biegu | 1 komentarz

Parę dni temu światło dzienne ujrzał projekt ysoserial.net – czyli dotnetowy odpowiednik słynnego javovego ysoserial. Program generuje odpowiedni ciąg znaków, który po deserializacji na serwerze, powoduje wykonanie na nim wskazanego przez atakującego kodu. Konkretny przykład tego typu dotnetowego buga można zobaczyć tutaj (deserializacja z JSON), tutaj (deserializacja ciasteczka mającego chronić przed…

Czytaj dalej »

Java Serial Killer – rozszerzenie do burpa – ataki na javową deserializację

05 marca 2016, 10:32 | W biegu | 0 komentarzy

Niedawno pokazano ataki na popularne javowe serwery aplikacyjne (Jboss, WebLogic, Websphere, itd), wskazując na bardziej ogólny problem – tj. z niewalidowaną deserializacją prowadzącą często do nieautoryzowanego wykonania kodu w systemie operacyjnym (problem zresztą nie dotyczy jedynie Javy). Obecnie dostępny jest nawet dodatek do popularnego narzędzia pentesterskiego burp suite, umożliwiający większą automatyzację ataków…

Czytaj dalej »

Zdalne wykonanie kodu na serwerze PayPala

25 stycznia 2016, 21:06 | W biegu | 0 komentarzy

Pisaliśmy już o problemach deserializacji – w Pythonie czy Javie. I dokładnie tego typu przykład można było znaleźć na jednym z serwerów PayPala. Czy macie już teraz jakieś wątpliwości do tego że niekontrolowana deserializacja to zuo? ;) Dla lubiących obrazki, reverse shell na PayPalu w filmiku poniżej: –ms

Czytaj dalej »

Rozwiązanie konkursu unpickle

05 lipca 2014, 22:50 | Teksty | 0 komentarzy
Rozwiązanie konkursu unpickle

Kilka dni temu w artykule o unpickle ogłosiliśmy konkurs, polegający na wykorzystaniu omawianej podatności w celu uzyskania XSS-a. Jeszcze tego samego dnia przyszło do nas pięć rozwiązań (ale najszybszy był Adam Dobrawy). W rozwiązaniach zastosowano trzy różne podejścia do problemu.

Czytaj dalej »