Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Tag: spring

Spring: seria krytycznych bugów – w tym wykonanie kodu na serwerze w komponencie OAUTH2

10 maja 2018, 18:36 | W biegu | 0 komentarzy

Jeśli używasz Springa i użyłeś jego komponentu OAUTH2 do zbudowania Authorization Serwera, lepiej sprawdź czy nie jesteś podatny na wykonanie kodu na serwerze (bez uwierzytelnienia). Wymagane warunki: Act in the role of an Authorization Server (e.g. @EnableAuthorizationServer) Use the default Approval Endpoint Kolejny, właśnie załatany problem to: CVE-2018-1258: Unauthorized Access with…

Czytaj dalej »

Spring Boot / Spring Data REST = zdalne wykonanie kodu.

15 marca 2018, 16:39 | W biegu | 0 komentarzy

Podatność została już załatana jakiś czas temu, ale więcej informacji pojawia się teraz. W największym skrócie, wysyłamy odpowiednio przygotowanego JSON-a i bum – mamy wykonanie kodu (poprzez wstrzyknięcie kawałka kodu w Spring Expression Language – swoją drogą mamy o tym poglądowy film w serwisie rozwal.to): This vulnerability in Spring Data REST…

Czytaj dalej »

Spring Boot – zdalne wykonanie dowolnego kodu na serwerze

05 lutego 2017, 09:00 | W biegu | komentarzy 15

Zaczynają pojawiać się kolejne pęknięcia w układance o nazwie Spring. Niedawno było to RCE w Spring OAuth, teraz mamy bardzo proste do wykorzystania zdalne wykonanie kodu w Spring Boot. Wykorzystanie załatanego już około roku temu błędu sprowadza się do wykorzystania faktu że wartości pewnych parametrów traktowane są jako Spring Expression Language (SpEL):…

Czytaj dalej »