Вторник, 4 августа, 21:59
дома безопасность Упражнение RealWorld CTF: обнаружена уязвимость PHP нулевого дня, которая делает возможным удаленное выполнение кода

Упражнение RealWorld CTF: обнаружена уязвимость PHP нулевого дня, которая делает возможным удаленное выполнение кода

CTFΤα Захватить флаг (CTF) задачи являются одними из «тестов», которые профессионалов в своей области безопасность совершенствовать, демонстрировать и приобретать навыки.

В соревнованиях CTF эксперты по безопасности пытаются выяснить уязвимости, чтобы создать эксплойты, инструментарий и многое другое.

Присоединяясь к задачам CTF, многие эксперты обнаруживают проблемы безопасности, о которых не задумывались ни сами создатели задачи. Таковы проблемы уязвимости нулевого дня.

PHP нуль-день уязвимости был случайно найден

Во время CTF Realworld, состоявшегося в сентябре, исследователь безопасность, Андрей Данау, случайно обнаружил необычное поведение скрипта PHP.

Когда Эндрю Данау отправлял байты% 0a (новая строка) на URL, ответ сервера не был нормальным. Он вернул больше данных, чем должен. Кроме того, сумма данные было связано с количеством байтов после% 0a в URL. Такое поведение обычно связано с повреждение памяти нападки, Это также может быть связано с атаками, которые позволяют утечка конфиденциальных личных или финансовых данных, Наконец, это может быть один уязвимость это позволяет злонамеренное исполнение код удаленно.

Коллеги Эндрю Эмиль и Омар решили поближе взглянуть на проблему. Они смогли понять причину этого необычного поведения и смогли создать связанный эксплойт, позволяющий удаленно выполнять код. Они оказались одним PHP нуль-день уязвимости.

Справиться с этим Вопрос PHP

Открытие Эндрю очень важно, главным образом потому, что сам создатель задания не думал об этом. Различные решения безопасности уже использовались для решения этой проблемы, и платформа была найдена Wallarm Cloud Native WAF автоматически обнаруживает проблему.

Решения, предлагаемые Wallarm похоже, довольно эффективно ограничивает проблему безопасности.

Это не первый раз, когда был сделан прорыв. Эндрю Данау и его коллеги не только обнаружили проблему безопасности, но и выяснили, как можно использовать вредоносное ПО. Хакеры, Обнаружение этой уязвимости PHP нулевого дня важно для усиления защиты и безопасности многих Web приложения.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

LIVE NEWS

00: 02: 00

WhatsApp: новая функция поиска против дезинформации

WhatsApp тестирует новую функцию, которая позволяет пользователям быстро искать содержимое вирусных сообщений, чтобы проверить, ...

Taidoor: новый руководитель китайских вредоносных программ

Как сообщают три правительственных агентства США, в недавних нарушениях безопасности хакерами использовался новый руководитель по вредоносным программам под названием Taidoor ...

Утекли десятки ГБ внутренних данных от LG и Xerox

Хакерская команда, которая управляет вымогателями Maze, утекла десятки ГБ внутренних данных из корпоративных сетей LG и Xerox после ...

Twitter грозит штраф в размере 250 миллионов долларов

Twitter рискует выплатить штраф в размере 250 миллионов долларов за злоупотребление данными своих пользователей, которые, как показывает личная информация ...

xCloud: сервис потоковой передачи игр Microsoft появится

Microsoft выпустит сервис потоковой игры, известный как Project xCloud, 15 сентября исключительно на устройствах Android.

Linux Kodachi 7.2: выпущен с обновлениями безопасности

На сегодняшний день Linux Kodachi является одним из самых безопасных дистрибутивов на основе Linux. С выпуском ...

Доходы от игр для PS4 почти удвоились во время пандемии!

Sony зафиксировала двойную выручку от продаж игр для приставок PS4, которая достигла уровня в 91 миллион, к ...

ФБР предупреждает о значительном росте мошенничества в интернет-магазинах!

ФБР выпустило предупреждение системы безопасности, в котором говорится, что сообщения о людях, ставших жертвами в Интернете, значительно возросли ...

AI: Буду выбирать, ставить медицинский диагноз или обратиться к специалистам

Искусственный интеллект ИИ теперь может диагностировать рак легких, молочной железы, мозга, кожи и даже ...

В продуктах автоматизации Mitsubishi обнаружены дефекты

Следователи безопасности обнаружили некоторые серьезные дефекты в продуктах Mitsubishi Electric для автоматизации производства, которые могли быть использованы злоумышленниками ...