Chodzi o niby znaną od dłuższego czasu klasę Mass Assignment, która najwyraźniej przeżywa drugą młodość. Przesyłasz np. JSON-em dane nowego użytkownika do API, co jest mapowane na stosowny obiekt i zapisywane do bazy. Proste ale i niebezpieczne. Bo co się stanie, jeśli ktoś do JSON-a doda klucz „admin”: true ?. Będziemy…
Czytaj dalej »
Wycieki kluczy, 20 realnych przykładów podatności w API (m.in. z UBER, Airbnb, Twitter, Facebook, Nissan, Github, Equifax, Cisco…), wykonywanie kodu na serwerze przez API, ćwiczenia online, masa praktyki… to kilka elementów z naszego nowego szkolenia o bezpieczeństwie API REST.
Czytaj dalej »
Parę dni temu światło dzienne ujrzał projekt ysoserial.net – czyli dotnetowy odpowiednik słynnego javovego ysoserial. Program generuje odpowiedni ciąg znaków, który po deserializacji na serwerze, powoduje wykonanie na nim wskazanego przez atakującego kodu. Konkretny przykład tego typu dotnetowego buga można zobaczyć tutaj (deserializacja z JSON), tutaj (deserializacja ciasteczka mającego chronić przed…
Czytaj dalej »
