Archive for 24 stycznia 2020

Swego czasu na wykopie można…

Swego czasu na wykopie można było rozdawać więcej plusów niż teoretycznie jest to możliwe.
Jest to przykład ataku race condition – kiedy to wysyłamy do serwera dwa żądania w tym samym czasie i patrzymy jak na nie zareaguje. #od0dopentestera
Szkolnym przykładem tego problemu są kupony rabatowe/karty podarunkowe a w szczególności te, które można wykorzystać tylko raz.
Jak testować taką podatność?
W materiale prezentuję narzędzie Turbo Intruder.
Za jego pomocą można w prosty sposób wysłać kilkanaście tysięcy żądań do serwera.
Całość używa #java chociaż sam interfejs obsługuje się z poziomu #python

Drugi przykład to wysyłka plików w #php w którym pokazuję, że kolejność operacji ma znaczenie.
Przesłane przez użytkownika pliki kopiuję do katalogu zdjęcia.
Następnie sprawdzam rozszerzenie pliku i jeżeli jest inne niż jpg lub gif – usuwam go.
Przy standardowym użytkowaniu operacja usuwania wykonuje się praktycznie natychmiastowo – złośliwy plik nie jest zatem dostępny.
Ale jeżeli wysyłam takich plików tysiące i równocześnie próbuję je otworzyć – wynik może być nieco inny.
Prawidłowy algorytm bowiem nie powinien kopiować plików do katalogu jeśli ich wcześniej nie sprawdził.

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.

#programowanie #bezpieczenstwo #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #security #komputery #biznes