Воскресенье, 21 февраля, 23:31
дома безопасность Упражнение RealWorld CTF: обнаружена уязвимость PHP нулевого дня, которая делает возможным удаленное выполнение кода

Упражнение RealWorld CTF: обнаружена уязвимость PHP нулевого дня, которая делает возможным удаленное выполнение кода

CTFΤα Захватить флаг (CTF) задачи - это некие "тесты", в которых профессионалов в своей области безопасность совершенствовать, демонстрировать и приобретать навыки.

В соревнованиях CTF эксперты по безопасности пытаются выяснить уязвимости, чтобы создать эксплойты, инструментарий и многое другое.

Присоединяясь к задачам CTF, многие эксперты обнаруживают проблемы безопасности, о которых не задумывались ни сами создатели задачи. Таковы проблемы уязвимости нулевого дня.

PHP нуль-день уязвимости был случайно найден

Во время CTF Realworld, состоявшегося в сентябре, исследователь безопасность, Андрей Данау, случайно обнаружил необычное поведение скрипта PHP.

Когда Эндрю Данау отправлял байты% 0a (новая строка) на URL, ответ сервера не был нормальным. Он вернул больше данных, чем должен. Кроме того, сумма данные было связано с количеством байтов после% 0a в URL. Такое поведение обычно связано с повреждение памяти нападки, Это также может быть связано с атаками, которые позволяют утечка конфиденциальных личных или финансовых данных, Наконец, это может быть один уязвимость это позволяет злонамеренное исполнение код удаленно.

Коллеги Эндрю Эмиль и Омар решили поближе взглянуть на проблему. Они смогли понять причину этого необычного поведения и смогли создать связанный эксплойт, позволяющий удаленно выполнять код. Они оказались одним PHP нуль-день уязвимости.

Справиться с этим Вопрос PHP

Открытие Эндрю очень важно, главным образом потому, что сам создатель задания не думал об этом. Различные решения безопасности уже использовались для решения этой проблемы, и платформа была найдена Wallarm Cloud Native WAF автоматически обнаруживает проблему.

Решения, предлагаемые Wallarm похоже, довольно эффективно ограничивает проблему безопасности.

Это не первый раз, когда был сделан прорыв. Эндрю Данау и его коллеги не только обнаружили проблему безопасности, но и выяснили, как можно использовать вредоносное ПО. Хакеры, Обнаружение этой уязвимости PHP нулевого дня важно для усиления защиты и безопасности многих Web приложения.

ОСТАВИТЬ ОТВЕТ

Пожалуйста, введите ваш комментарий!
Пожалуйста, введите ваше имя здесь

Отсутствующая Миа
Отсутствующая Миаhttps://www.secnews.gr
Быть самим собой в мире, который постоянно пытается изменить вас, является вашим величайшим достижением

ЖИВЫЕ НОВОСТИ

Как позвонить по Facetime Audio

Устали от звонков по мобильному телефону низкого качества? Благодаря FaceTime вы можете совершать звонки с высоким разрешением, если используете iPhone, iPad, ...

Как добавить спецэффекты в сообщения Instagram

Знаете ли вы, что мгновенные сообщения в Instagram можно сделать более впечатляющими? Как и любую другую функцию Instagram, вы можете добавить специальные ...

Twitter: приходят голосовые сообщения! Как мы их отправим?

Twitter скоро будет поддерживать голосовые сообщения в приложениях для iOS и Android. Это означает, что вы сможете отправить ...

Как подключить Bluetooth-гарнитуру к Nintendo Switch

На Nintendo Switch есть разъем для наушников. Однако большинство гарнитур беспроводные, поэтому вам понадобится способ их подключения ...

Как скрыть свой номер телефона в Telegram

Если вы хотите создать учетную запись Telegram, вы должны указать свой номер телефона. Таким образом Telegram проверяет ...

Google Ассистент: как удалить записи?

Google Ассистент может сделать вашу повседневную жизнь намного проще. Однако это также связано с некоторыми проблемами конфиденциальности, так как ...

Microsoft: Office 2021 / Office LTSC выйдет во второй половине 2021 года

Microsoft объявила, что в 2021 году выпустит Microsoft Office Long Term Servicing Channel (LTSC) и Office 2021 для ...

Как быстро создавать QR-коды с помощью Bing

Если вам когда-нибудь понадобится создать QR-код, но вы не знаете, как это сделать, у Microsoft есть простой в использовании инструмент, доступный в любой программе ...

Brave: луковые адреса просочились в DNS-трафик

Функция Tor, включенная в веб-браузер Brave, позволяет пользователям получать доступ к темным веб-доменам .onion в пределах ...