|
|||||
Удаленное выполнение кода возникает из-за внедренного кода, который интерпретируется и выполняется уязвимым приложением. Причиной данной уязвимости является пользовательский ввод, который приложение использует без надлежащей фильтрации и обработки.
[Всего голосов: 13 Средний: 3.2/5] […] 
XML External Entity(XXE) это атака, направленая на приложение, которое обрабатывает парсит XML код. OWASP утверждает, что эта возможность этой атаки возникает,когда XML код содержит ссылки на внешние сущности, которые обрабатываются плохо настроенным парсером.
Другими словами, путём передачи вредоносного XML кода атакующий может использовать парсер против рассматриваемой системы, […] 
Захват поддомена действительно выглядит так, как звучит. Это ситуация, при которой злоумышленник способен претендовать на поддомен от имени основного и настоящего сайта. В двух словах, этот тип уязвимости вовлекает сайт созданием записи DNS для поддомена, например в Heroku (хостинговая компания), и никогда не утверждает, что это дочерний домен этого сайта.
[…] 
Согласно Open Web Application Security Project, открытое перенаправление происходит, когда приложение принимает параметр и перенаправляет пользователя к значению этого параметра без какой-либо валидации и проверки содержимого этого параметра.
Эта уязвимость используется в фишинговых атаках, чтобы заставить пользователей посетить вредоносные сайты усыпляя их бдительность. Вредоносный веб-сайт будет выглядеть при […] 
SQL инъекция, или SQLi, является уязвимостью, которая позволяет хакеру “внедрять” SQL-утверждения в цель и получать доступ к её базе данных. Потенциал здесь довольно большой, что зачастую обнаруживает высокооплачиваемые уязвимости. Например, атакующие могут получить возможность выыполнять все или некоторые из CRUD-действий (Creating, Reading, Updating, Deleting, они же Создание, Чтение, Обновление и Удаление) в […] 
Раскрытие информации о PHP на Yahoo Сложность: Средняя Url: http://nc10.n9323.mail.ne1.yahoo.com/phpinfo.php Ссылка на отчет: https://blog.it-securityguard.com/bugbountyyahoo-phpinfo-php-disclosure-2/23 Дата отчета: 16 октября 2014 Выплаченное вознаграждение: n/a Описание: Хотя этот отчет не может похвастать большой выплатой, как некоторые другие уязвимости, я включил его (за него на самом деле заплатили […] 
Открытые бакеты HackerOne S3 Сложность: Средняя Url: [****].s3.amazonaws.com Ссылка на отчет: https://hackerone.com/reports/12808819 Дата отчета: 3 апреля 2016 Выплаченное вознаграждение: $2,500 Описание: Здесь мы сделаем кое-что несколько иное. Эта обнаруженная мной уязвимость немного отличается от бага Shopify, описанного выше, так что я поделюсь всеми деталями о том, как я её нашел. […] 
Повышение полномочий на Binary.com Сложность: Низкая Url: binary.com Ссылка на отчет: https://hackerone.com/reports/9824716 Дата отчета: 14 ноября 2015 Выплаченное вознаграждение: $300
Описание: Это очень простая уязвимость, которая не требует длинных пояснений. В двух словах, в этой ситуации пользователь был способен войти в любой аккаунт и […] 
Уязвимости в логике приложений отличаются от тех, что мы обсуждали до этого момента. В то время, как HTML-инъекции, HTML Parameter Pollution и XSS включают отправку какого либо вида потенциально вредоносных данных, уязвимости, основанные на аутентификации, включают манипулятивные сценарии и использование багов в коде приложения.
Хорошим примером этого типа […] |
 |
||||
|
Copyright © 2017 Cryptoworld - All Rights Reserved Powered by WordPress & Atahualpa |
|||||
Свежие комментарии