Лично мое мнение, что текущий спрос на кибербезопасность может стать хорошим бустером для всей индустрии ИБ, в том числе и для платформ ББ. По нашим прикидкам к концу года только на нашей платформе (а есть ещё две другие) будет 10-20 программ, а к следующему уже около 50.
Про активных пользователей — все верно, но для нас это говорит об интересе к платформе. Качество можно будет увидеть только с большим количеством программ на платформе, чем мы сейчас и занимаемся.
По второму — задача будет ставиться в формате "получите данные такой-то базы" или "отключите систему хранения бэкапов". При реализации этих событий импакт для бизнеса понятнее, чем от условной XSS. Третий вопрос я не очень понял, но попробую ответить. Специалисты Positive Technologies будут выступать в роли арбитра в "пикантных" ситуациях.
С помощью ХХЕ атаки на приложение злоумышленник сможет прочитать абсолютно любые файлы на сервере. Например, исходные тексты, конфигурационные файлы, пароли БД, учетные данные аккаунта администратора и т. д.
Это ложь. Проблемы могут возникнуть при чтении файла с символами <>"' и другими (например 0x00, 0x01)
Не знал о данной CTF, хотя проходил два курса на Stepic когда-то и рад бы был поучаствовать. Почему не попали в список на ctftime.org? Видимо не я один не знал, из знакомых CTFников только AV1ct0r.
Так делают специально, чтобы администраторы сайта долгое время не могли заметить, что у них стоит редирект. Кто же будет заходить на собственный сайт через поиск гугла? :)
А как собирались данные для графа допустимых передвижений? https://github.com/Lozkins/mos/blob/master/data/06_tsp_dist.csv
ВСЕ ЕЩЕ НЕ ЗАМЕНИЛ!
Есть отличная статья про проблемы парсеров (BB-коды, маркдаун) которые приводят к XSS от Positive Technologies https://swarm.ptsecurity.com/fuzzing-for-xss-via-nested-parsers-condition/
Лично мое мнение, что текущий спрос на кибербезопасность может стать хорошим бустером для всей индустрии ИБ, в том числе и для платформ ББ. По нашим прикидкам к концу года только на нашей платформе (а есть ещё две другие) будет 10-20 программ, а к следующему уже около 50.
Про активных пользователей — все верно, но для нас это говорит об интересе к платформе. Качество можно будет увидеть только с большим количеством программ на платформе, чем мы сейчас и занимаемся.
По второму — задача будет ставиться в формате "получите данные такой-то базы" или "отключите систему хранения бэкапов". При реализации этих событий импакт для бизнеса понятнее, чем от условной XSS. Третий вопрос я не очень понял, но попробую ответить. Специалисты Positive Technologies будут выступать в роли арбитра в "пикантных" ситуациях.
Спасибо, возьмём в работу :)
Это ложь. Проблемы могут возникнуть при чтении файла с символами <>"' и другими (например 0x00, 0x01)
Почему? В правилах такого не было, сделал все локально.
Откуда точно знаете, что набрали 100 баллов?
speakerdeck.com/0ang3el/hunting-for-security-bugs-in-aem-webapps
github.com/thomashartm/burp-aem-scanner
speakerdeck.com/fransrosen/a-story-of-the-passive-aggressive-sysadmin-of-aem
resources.infosecinstitute.com/adobe-cq-pentesting-guide-part-1
github.com/danielmiessler/SecLists/blob/master/Discovery/Web-Content/AdobeCQ-AEM.txt
github.com/0ang3el/aem-hacker