Swego czasu na wykopie można…

Swego czasu na wykopie można było rozdawać więcej plusów niż teoretycznie jest to możliwe. Jest to przykład ataku race condition – kiedy to wysyłamy do serwera dwa żądania w tym samym czasie i patrzymy jak na nie zareaguje. #od0dopentestera Szkolnym przykładem tego problemu są kupony rabatowe/karty podarunkowe a w szczególności te, które można wykorzystać tylko raz. Jak testować taką podatność? W materiale prezentuję narzędzie Turbo Intruder. Za jego pomocą można w prosty sposób wysłać kilkanaście tysięcy żądań do serwera. Całość używa #java chociaż sam interfejs obsługuje się z poziomu #python Drugi przykład to wysyłka plików w #php w którym pokazuję, że kolejność operacji ma znaczenie. Przesłane przez użytkownika pliki kopiuję do katalogu zdjęcia. Następnie sprawdzam rozszerzenie pliku i jeżeli jest inne niż jpg lub gif – usuwam go. Przy standardowym użytkowaniu operacja usuwania wykonuje się praktycznie natychmiastowo – złośliwy plik nie jest zatem dostępny. Ale jeżeli wysyłam takich plików tysiące i równocześnie próbuję je otworzyć – wynik może być nieco inny. Prawidłowy algorytm bowiem nie powinien kopiować plików do katalogu jeśli ich wcześniej nie sprawdził. Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku. Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty. #programowanie #bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #security #komputery #biznes Czytaj dalej...

Mirki wrzuciłem znalezisko,…

Mirki wrzuciłem znalezisko, bo radna ode mnie z miasta, (młoda ale chyba wie co robi) – napisała dziwnym językiem wpis na Facebooku o tym dlaczego wszystko drożeje. Śmiesznie mi się to czytało, trochę pato jak na polityczkę xD ale uważam że warto poczytać: Link tutaj Długie, ale naprawdę spoko do herbaty. Swoją drogą co ona robi w polityce XD #polityka #ekonomia #finanse #samorzad #panstwozdykty #bekazpisu #pis Czytaj dalej...