Aktywne Wpisy
JoeGlodomor +458
Jacinda +341
hej Mireczki, nie wiem czy jest ktoś tutaj co pamięta mój post sprzed sześciu lat, kiedy chwaliłam się wynikami z matury:
mój wpis z 2018
Przyszłam się pochwalić, że studia skończyłam, udało się bez żadnej obsuwy - jestem oficjalnie lekarzem (⌐ ͡■ ͜ʖ ͡■)
tera jeszcze trochę papierkowej roboty i
mój wpis z 2018
Przyszłam się pochwalić, że studia skończyłam, udało się bez żadnej obsuwy - jestem oficjalnie lekarzem (⌐ ͡■ ͜ʖ ͡■)
tera jeszcze trochę papierkowej roboty i
Jest to przykład ataku race condition – kiedy to wysyłamy do serwera dwa żądania w tym samym czasie i patrzymy jak na nie zareaguje. #od0dopentestera
Szkolnym przykładem tego problemu są kupony rabatowe/karty podarunkowe a w szczególności te, które można wykorzystać tylko raz.
Jak testować taką podatność?
W materiale prezentuję narzędzie Turbo Intruder.
Za jego pomocą można w prosty sposób wysłać kilkanaście tysięcy żądań do serwera.
Całość używa #java chociaż sam interfejs obsługuje się z poziomu #python
Drugi przykład to wysyłka plików w #php w którym pokazuję, że kolejność operacji ma znaczenie.
Przesłane przez użytkownika pliki kopiuję do katalogu zdjęcia.
Następnie sprawdzam rozszerzenie pliku i jeżeli jest inne niż jpg lub gif – usuwam go.
Przy standardowym użytkowaniu operacja usuwania wykonuje się praktycznie natychmiastowo – złośliwy plik nie jest zatem dostępny.
Ale jeżeli wysyłam takich plików tysiące i równocześnie próbuję je otworzyć – wynik może być nieco inny.
Prawidłowy algorytm bowiem nie powinien kopiować plików do katalogu jeśli ich wcześniej nie sprawdził.
Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.
#programowanie #bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #security #komputery #biznes
Możesz zapisać/wypisać się klikając na nazwę listy.
! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak
Komentarz usunięty przez autora
@KacperSzurek: przecież nadal można xDDD
PSSS pije kompot ale wiem łocebe ( ͡°( ͡° ͜ʖ( ͡° ͜ʖ ͡°)ʖ ͡°) ͡°)