-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Tag: upload

Kuriozalna podatność w urządzeniu FortiNAC. W banalny sposób atakujący może otrzymać roota bez uwierzytelnienia

22 lutego 2023, 09:15 | W biegu | komentarze 2
Kuriozalna podatność w urządzeniu FortiNAC. W banalny sposób atakujący może otrzymać roota bez uwierzytelnienia

Z naszych doświadczeń – bezpieczeństwo paneli webowych urządzeń sieciowych (nie tylko Fortinetu) – delikatnie mówiąc – nie należy do najlepszych. Szczególnie martwi to jednak w przypadku sprzętu zapewniającego bezpieczeństwo – a do takich należy FortiNAC (Network Access Control). Szczegóły załatanej niedawno podatności możecie prześledzić tutaj. Na szczęście czytasz właśnie sekuraka…

Czytaj dalej »

jQuery upload plugin – łatwy sposób na przejmowanie całych serwerów

22 października 2018, 12:26 | W biegu | 1 komentarz

Jak wiemy mechanizmy uploadu to jedno z najniebezpieczniejszych miejsc w aplikacjach. Czasem po prostu wystarczy wgrać webshella (dającego już dostęp na poziomie systemu operacyjnego), czasem trzeba się bardziej namęczyć – np. przygotowując odpowiedniego zip-a. Ten pierwszy wariant był cały czas możliwy w popularnym pluginie jQuery File Upload (podatny jest kod po…

Czytaj dalej »

Bezpieczeństwo aplikacji webowych: podatności w mechanizmach uploadu

23 listopada 2015, 09:30 | Teksty | komentarzy 10
Bezpieczeństwo aplikacji webowych: podatności w mechanizmach uploadu

Upload plików zalicza się do najczęściej występujących funkcjonalności w webaplikacjach. Zazwyczaj wiąże się z wgrywaniem na serwer obrazków bądź dokumentów. Jest zarazem miejscem, na które bardzo chętnie patrzą pentesterzy, ze względu na liczne błędy bezpieczeństwa w implementacjach. W tym artykule przedstawimy najczęściej występujące błędy oraz pokażemy, w jaki sposób mogą zostać wykorzystane. Omówimy także sposoby obrony.

Czytaj dalej »

Nowy magazyn Programista – z naszym tekstem o uploadach

20 lipca 2015, 10:56 | W biegu | 1 komentarz

W Empikach dostępny jest od dzisiaj nowy numer magazynu Programista. W tym numerze kolejny nasz tekst – tym razem o niebezpieczeństwach mechanizmu uploadu (trochę elementów podstawowych, ale również kilka nieoczywistych trików). Jak zwykle nie brakuje też strefy CTF redagowanej przez rodzimą ekipę – Dragon Sector. Poza tym w numerze: Git…

Czytaj dalej »