Как стать автором
Обновить
1
0
Отправить сообщение

ВСЕ ЕЩЕ НЕ ЗАМЕНИЛ!

Есть отличная статья про проблемы парсеров (BB-коды, маркдаун) которые приводят к XSS от Positive Technologies https://swarm.ptsecurity.com/fuzzing-for-xss-via-nested-parsers-condition/

Лично мое мнение, что текущий спрос на кибербезопасность может стать хорошим бустером для всей индустрии ИБ, в том числе и для платформ ББ. По нашим прикидкам к концу года только на нашей платформе (а есть ещё две другие) будет 10-20 программ, а к следующему уже около 50.

Про активных пользователей — все верно, но для нас это говорит об интересе к платформе. Качество можно будет увидеть только с большим количеством программ на платформе, чем мы сейчас и занимаемся.

По второму — задача будет ставиться в формате "получите данные такой-то базы" или "отключите систему хранения бэкапов". При реализации этих событий импакт для бизнеса понятнее, чем от условной XSS. Третий вопрос я не очень понял, но попробую ответить. Специалисты Positive Technologies будут выступать в роли арбитра в "пикантных" ситуациях.

Спасибо, возьмём в работу :)

С помощью ХХЕ атаки на приложение злоумышленник сможет прочитать абсолютно любые файлы на сервере. Например, исходные тексты, конфигурационные файлы, пароли БД, учетные данные аккаунта администратора и т. д.

Это ложь. Проблемы могут возникнуть при чтении файла с символами <>"' и другими (например 0x00, 0x01)

Перекачать себе весь код не получится, только удаленный анализ.

Почему? В правилах такого не было, сделал все локально.
У меня получилось 100 баллов набрать, но времени было впритык.

Откуда точно знаете, что набрали 100 баллов?
Да. Стоит поискать ;)
Там поддерживается только нижний регистр, нужно было отправить в верхнем, как на сайте компании: NFSG64TTMVRXK4TJOR4Q.
Вовсе не была закрыта шифрованием
Не знал о данной CTF, хотя проходил два курса на Stepic когда-то и рад бы был поучаствовать. Почему не попали в список на ctftime.org? Видимо не я один не знал, из знакомых CTFников только AV1ct0r.
Исходники можно найти по пути:
C:\Users\<Your_User_Name>\AppData\Local\Google\Chrome\User Data\Default\Extensions\jlokilojbcmfijbgbioojlnhejhnikhn
если у вас Google Chrome
согласен. как и телефон (P770), и так thinkpad (x220) живут уже по 2 и 4 года соответственно. видимо, зависит от конкретной модели.
Так делают специально, чтобы администраторы сайта долгое время не могли заметить, что у них стоит редирект. Кто же будет заходить на собственный сайт через поиск гугла? :)
1

Информация

В рейтинге
Не участвует
Зарегистрирован
Активность