Как стать автором
Обновить
39
Карма
0
Рейтинг

Пользователь

  • Подписчики 42
  • Подписки 44

Разбор заданий конкурса WAF Bypass на PHDays VII

Блог компании Positive Technologies Информационная безопасность *
Международный форум по информационной безопасности PHDays вновь стал площадкой для конкурса WAF Bypass. Цель конкурса — обойти защитные механизмы PT Application Firewall, чтобы добыть специальные флаги через уязвимости в подготовленных веб-приложениях. Каждое из заданий подразумевало заложенные нами варианты обхода PT Application Firewall, что, в свою очередь, стало возможным за счет отключения ряда функций безопасности. В этом году мы также решили опробовать прототип межсетевого экрана систем управления базами данных (DBFW), который анализировал SQL-трафик от приложений до баз данных (БД).
Читать дальше →
Всего голосов 13: ↑12 и ↓1 +11
Просмотры 4.5K
Комментарии 0

Конкурс WAF Bypass на Positive Hack Days VI

Блог компании Positive Technologies Информационная безопасность *
В рамках международного форума по практической безопасности Positive Hack Days в очередной раз состоялся конкурс WAF Bypass. Как и прежде, задачей участников было решение заданий путем обхода проверок PT Application Firewall, защищавшего уязвимые веб-приложения. Каждое из заданий подразумевало заложенные нами варианты обхода, которые были возможны из-за специально допущенных ошибок в конфигурации. Цель каждого задания — получить флаг, который мог храниться в базе данных, в файловой системе или в Cookie, выдаваемых специальному боту. Описание заданий и способы их решения под катом.

Читать дальше →
Всего голосов 19: ↑16 и ↓3 +13
Просмотры 4.5K
Комментарии 0

Конкурс WAF Bypass на Positive Hack Days V

Блог компании Positive Technologies Информационная безопасность *


Как и в прошлом году, на международном форуме по практической безопасности Positive Hack Days проходил конкурс WAF Bypass. Задача участников ― обойти защиту PT Application Firewall, веб-файрвола компании Positive Technologies. Специально для конкурса был создан сайт «Choo Choo Roads» с типовыми уязвимостями: Cross-Site Scripting, SQL Injection, XML External Entities Injection, Open Redirect и др. Результатом обхода проверки для каждой уязвимости были MD5-флаги, за которые присуждались очки. Флаги располагались в файловой системе, базе данных, в cookie-параметрах, которые присваивались специальному боту, написанному с использованием Selenium.
Читать дальше →
Всего голосов 18: ↑17 и ↓1 +16
Просмотры 6.3K
Комментарии 0

Apple приглашает на презентацию iPad 3

IT-компании

Презентация нового iPad состоится 7 марта. Судя по изображению, можно заключить, что новый планшет получит экран Retina. Что еще более интересно, у iPad 3 отсутствует традиционная кнопка Home.
Всего голосов 112: ↑84 и ↓28 +56
Просмотры 982
Комментарии 216

Выполнение кода в PHP 5.3.9

Информационная безопасность *
Одним из новшеств релиза PHP 5.3.9 стало введение нового параметра конфигурации max_input_vars, который устанавливает максимальное возможное количество входящих параметров в запросе. Новая директива является мерой против атак Hash Collision DoS, которые могут привести к отказу в обслуживании при отправке большого количества входящих параметров. Однако в коде, отвечающим за ограничение количества параметров в запросе, была допущена ошибка, которая приводит к удаленному выполнению кода. Уязвимость была обнаружена специалистом в области информационной безопасности Стефаном Эссером, известным за публикацию ряда серьезных уязвимостей в PHP, а также за разработку джейлбрейка для Apple iOS.

Уязвимость возникает в случае, когда количество входящих параметров превышает значение max_input_vars (по умолчанию 1000).

Немного технических подробностей
Всего голосов 34: ↑33 и ↓1 +32
Просмотры 7.6K
Комментарии 11

Информация

В рейтинге
Не участвует
Откуда
Москва, Москва и Московская обл., Россия
Работает в
Зарегистрирован
Активность