Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Поток Информационная безопасность доступен 24/7 благодаря поддержке друзей Хабра
Комментарии 3
У нас в Тинькофф на внутренних pentest-воркшопах тоже гоняли подобные сценарии (SQL injection через формы авторизации). Забавно, но в реальном коде чаще всего дыры вылезают НЕ в явных input'ах, а в фильтрах типа ordering/sorting в Django ORM, где разработчики напрямую подставляют параметры из request.GET в .order_by(). За три года code review нашел таких мест штук пять у junior'ов. А с CTF основная проблема — они учат искать дыры, но не учат правильно закрывать их в production-коде (prepared statements и ORM вместо string concatenation).
Читая подобные статьи с прохождением, у меня всегда возникает вопрос: где обучают подобным вещам?
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
HackTheBox. Прохождение Falafel. Уровень — Сложный