Tag: java

Wysyp krytycznych błędów (RCE): JBoss, .NET Framework, WebShpere, WebLogic

13 listopada 2018, 19:48 | W biegu | 1 komentarz

Tym razem nie jest to jakaś skoordynowana pod względem jednej konkretnej podatności akcja (choć w kilku miejscach przewija się deserializacja). Na początek podatność (krytyczność 9.8/10) w RichFaces, który wchodzi w skład JBossa: The RichFaces Framework 3.X through 3.3.4 is vulnerable to Expression Language (EL) injection via the UserResource resource. A…

Czytaj dalej »

Używasz JMetera na serwerze? – niezałatane wykonanie kodu w OS

17 marca 2018, 10:05 | W biegu | 1 komentarz

JMeter to popularne narzędzie służące głównie do realizacji testów wydajnościowych. Można go uruchomić lokalnie, ale jeśli potrzebujemy zasymulować większą ilość ruchu, popularną instalacją jest wystartowanie wielu serwerów JMetera a następnie uruchomienie równoległych testów właśnie z tych serwerów. Jednak… w takiej instalacji możliwe jest zdalne wykonanie dowolnego kodu na serwerze a…

Czytaj dalej »

Nie aktualizujesz javowej aplikacji? Możesz mieć duży problem (exploit na Apache Struts)

09 marca 2017, 10:23 | W biegu | 1 komentarz

Tytuł może być nieco mylący, bo chodzi nie tyle o aktualizowanie czy łatanie samej aplikacji, ale o monitorowanie wersji biblioteki Struts (czy ogólnie bibliotek). Popularny Apache Struts, właśnie załatał podatność umożliwiającą wykonanie kodu w OS na serwerze. Tymczasem w sieci realizowane są już próby exploitowania buga: Co robić? Po pierwsze…

Czytaj dalej »

Java Serial Killer – rozszerzenie do burpa – ataki na javową deserializację

05 marca 2016, 10:32 | W biegu | 0 komentarzy

Niedawno pokazano ataki na popularne javowe serwery aplikacyjne (Jboss, WebLogic, Websphere, itd), wskazując na bardziej ogólny problem – tj. z niewalidowaną deserializacją prowadzącą często do nieautoryzowanego wykonania kodu w systemie operacyjnym (problem zresztą nie dotyczy jedynie Javy). Obecnie dostępny jest nawet dodatek do popularnego narzędzia pentesterskiego burp suite, umożliwiający większą automatyzację ataków…

Czytaj dalej »

Koniec z dziurawymi (i jakimikolwiek) appletami Javy – Oracle kończy wsparcie

28 stycznia 2016, 18:07 | W biegu | komentarzy 5

Jak już wiemy od wielu lat, Java + przeglądarka, to nie wygląda bezpiecznie… zresztą nie lepiej jest choćby z Flashem, w którym podatności chętnie wykorzystuje rozmaity malware. Tymczasem Oracle oficjalnie ogłosił, że w JRE / JDK 9 (początek 2017) kończy wsparcie dla appletów (które bazują na odpowiednim przeglądarkowym pluginie) i rekomenduje rozważenie innej technologii – Java Web…

Czytaj dalej »

Zdalne wykonanie kodu na serwerze PayPala

25 stycznia 2016, 21:06 | W biegu | 0 komentarzy

Pisaliśmy już o problemach deserializacji – w Pythonie czy Javie. I dokładnie tego typu przykład można było znaleźć na jednym z serwerów PayPala. Czy macie już teraz jakieś wątpliwości do tego że niekontrolowana deserializacja to zuo? ;) Dla lubiących obrazki, reverse shell na PayPalu w filmiku poniżej: –ms

Czytaj dalej »