Remote File Inclusion

Remote File Inclusion

RFI to typ podatności często znajdywany na stronach stworzonych z użyciem PHP. Błąd ten pozwala atakującemu dołączyć zdalnie hostowany plik, zazwyczaj poprzez skrypt na serwerze. RFI jest możliwe, ponieważ to co wprowadza użytkownik nie jest odpowiednio filtrowane. Może to prowadzić na przykład do wyrzucenia zawartości pliku, ale w zależności od skali błędu możemy wykonać dowolny kod na serwerze.

Atak

Remote File Inclusion występuje wtedy, kiedy to co wprowadzi użytkownik nie jest poprawnie filtrowane lub oczyszczane. Następujące dane muszą zostać odpowiednio przygotowane przed przetworzeniem:

Parametry URL
Parametry GET i POST
Nagłówki HTTP
Ciasteczka

Korzystając z wartości parametrów zawartych w adresie (http://example.com/?page=ADRES_STRONY) serwer uzyskuje dostęp do zdalnego  Czytaj dalej >      

Bardzo dużo serwisów straciło nagle Extended Validation certyfikatu SSL – w nowym Chrome

TL;DR: wejdźcie np. na stronę Symanteca lub Bank of America w najnowszym Chrome (wersja: 57.0.2987.110 na Windows). Widzicie Extended Validation? Bo my nie… To tylko przykładowe dwa serwisy, a podobne działanie Chrome można zauważyć na wielu, wielu innych stronach. Czy jest powód do paniki? Naszym zdaniem – zdecydowanie nie. Ale warto śledzić rozwój…  Czytaj dalej >      

Za lekkomyślność przy wystawianiu certyfikatów SSL, Symantec wypadnie z gry?

W nowszych wersjach Chrome będzie akceptował certyfikaty SSL od Symanteca maksymalnie z ważnością 9 miesięcy (od Chrome 64, zmniejszanie ważności ma się zacząć od Chrome 59). Problem mogą również mieć właściciele certyfikatów od Thawte oraz GeoTrust. W notce od Google czytamy bowiem odpowiedź na jedno z pytań: Q: Can you please…  Czytaj dalej >      

Pentesterzy i bezpiecznicy – możecie już spać spokojnie, nie pójdziecie siedzieć

Wygląda na to, że Sejm przyjął wczoraj poprawki do zmian w kodeksie karnym, które pozwalają bezpiecznikom posiadać narzędzia do hakowania a pentesterom przeprowadzać testy bezpieczeństwa bez zagrożenia odpowiedzialnością karną.

Przez pewien czas przepisy kodeksu karnego nie wyglądały zbyt różowo dla bezpieczników i pentesterów.… Czytaj dalej

 Czytaj dalej >