Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: redos

.*(?:.*=.*))) zabiło całe Cloudflare. Przerywamy spotkanie! Wszystkie ręce do konsol!

13 lipca 2019, 10:38 | Aktualności | komentarzy 9
.*(?:.*=.*))) zabiło całe Cloudflare. Przerywamy spotkanie! Wszystkie ręce do konsol!

O problemie pisaliśmy w krótki sposób kilka dni temu. TLDR: wejdźcie na https://regex101.com/ i wpiszcie ten fragment oryginalnego wyrażenia regularnego użytego przez Cloudflare w jednej z reguł WAF-a: .*(?:.*=.*) W „TEST STRING” możecie wpisać: aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa; Silnik obsługujący wyrażenia regularne aby dopasować dość prosty i niedługi ciąg znaków potrzebuje wykonać około 7000 kroków!…

Czytaj dalej »

Spring: seria krytycznych bugów – w tym wykonanie kodu na serwerze w komponencie OAUTH2

10 maja 2018, 18:36 | W biegu | 0 komentarzy

Jeśli używasz Springa i użyłeś jego komponentu OAUTH2 do zbudowania Authorization Serwera, lepiej sprawdź czy nie jesteś podatny na wykonanie kodu na serwerze (bez uwierzytelnienia). Wymagane warunki: Act in the role of an Authorization Server (e.g. @EnableAuthorizationServer) Use the default Approval Endpoint Kolejny, właśnie załatany problem to: CVE-2018-1258: Unauthorized Access with…

Czytaj dalej »