Вторник, 27 октября, 21:24
дома безопасность Упражнение RealWorld CTF: обнаружена уязвимость PHP нулевого дня, которая делает возможным удаленное выполнение кода

Упражнение RealWorld CTF: обнаружена уязвимость PHP нулевого дня, которая делает возможным удаленное выполнение кода

CTFΤα Захватить флаг (CTF) задачи являются одними из «тестов», которые профессионалов в своей области безопасность совершенствовать, демонстрировать и приобретать навыки.

В соревнованиях CTF эксперты по безопасности пытаются выяснить уязвимости, чтобы создать эксплойты, инструментарий и многое другое.

Присоединяясь к задачам CTF, многие эксперты обнаруживают проблемы безопасности, о которых не задумывались ни сами создатели задачи. Таковы проблемы уязвимости нулевого дня.

PHP нуль-день уязвимости был случайно найден

Во время CTF Realworld, состоявшегося в сентябре, исследователь безопасность, Андрей Данау, случайно обнаружил необычное поведение скрипта PHP.

Когда Эндрю Данау отправлял байты% 0a (новая строка) на URL, ответ сервера не был нормальным. Он вернул больше данных, чем должен. Кроме того, сумма данные было связано с количеством байтов после% 0a в URL. Такое поведение обычно связано с повреждение памяти нападки, Это также может быть связано с атаками, которые позволяют утечка конфиденциальных личных или финансовых данных, Наконец, это может быть один уязвимость это позволяет злонамеренное исполнение код удаленно.

Коллеги Эндрю Эмиль и Омар решили поближе взглянуть на проблему. Они смогли понять причину этого необычного поведения и смогли создать связанный эксплойт, позволяющий удаленно выполнять код. Они оказались одним PHP нуль-день уязвимости.

Справиться с этим Вопрос PHP

Открытие Эндрю очень важно, главным образом потому, что сам создатель задания не думал об этом. Различные решения безопасности уже использовались для решения этой проблемы, и платформа была найдена Wallarm Cloud Native WAF автоматически обнаруживает проблему.

Решения, предлагаемые Wallarm похоже, довольно эффективно ограничивает проблему безопасности.

Это не первый раз, когда был сделан прорыв. Эндрю Данау и его коллеги не только обнаружили проблему безопасности, но и выяснили, как можно использовать вредоносное ПО. Хакеры, Обнаружение этой уязвимости PHP нулевого дня важно для усиления защиты и безопасности многих Web приложения.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

ЖИВЫЕ НОВОСТИ

00: 01: 47

Нарушение данных в юридической фирме раскрывает данные сотрудников Google

Иммиграционная юридическая фирма Fragomen, Del Rey, Bernsen & Loewy, LLP заявила, что в ней произошла утечка данных, которая привела к утечке личных данных ...

Как установить файл .watchface на Apple Watch

Apple Watch позволяет настроить циферблат часов для отображения всевозможной полезной информации. Но знаете ли вы ...

Пять крупнейших утечек данных в 21 веке

Данные становятся все более и более востребованными, поскольку наша повседневная жизнь становится все более цифровой. Технологические гиганты, монополизирующие данные, - это ...

Microsoft ограничивает доступность Windows 10 20H2

В настоящее время Microsoft ограничивает доступность Windows 10 20H2, чтобы предоставить всем пользователям, которые хотят ...

Как включить новую функцию Chrome Подробнее

Последняя версия браузера Google Chrome v86, выпущенная ранее в этом месяце, содержит секретную функцию под названием Read ...

Как выбрать собственный цвет для меню Пуск

Начиная с обновления за октябрь 2020 года, Windows 10 по умолчанию используется в теме, которая удаляет яркие цвета из ...

Телескоп НАСА обнаружил питьевую воду на Луне

Одиннадцать лет назад космический корабль навсегда изменил наш взгляд на Луну. Данные, собранные ...

Microsoft: расширяет возможности обнаружения атак с использованием паролей.

Microsoft значительно улучшила способность обнаруживать атаки со спреем паролей в Azure Active Directory (Azure AD) и достигла точки ...

Как не дать компаниям найти наш номер телефона

В эпоху рекламы чем больше известно о пользователях, тем удобнее для компаний. И, в частности, ...

Нарушение в психотерапевтической клинике привело к шантажу пациентов

Два года назад в финской психотерапевтической клинике произошла кибератака, которая привела к краже данных и требованию выкупа. Сейчас,...