Основные блоги b.Z » Все блоги » Про интернет » Об одной уязвимости в…

Об одной уязвимости в…

Все блоги / Про интернет 27 марта 2020 638   
Смотреть в Telegram Поделиться в TG


Год назад, 21 марта 2019, в баг баунти программу Mail.Ru на HackerOne пришел очень хороший багрепорт от maxarr. При внедрении нулевого байта (ASCII 0) в POST-параметр одного из API-запросов веб-почты, который возвращал HTTP-редирект, в данных редиректа виднелись куски неинициализированной памяти, в которых чаще всего раскрывались фрагменты из GET-параметров и заголовков других запросов к тому же серверу.
Читать дальше →

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

[Перевод] Как мы решаем проблему неинициализированной стековой памяти в Windows

В этой заметке я расскажу в общих чертах о том, как в Microsoft устраняют уязвимости, связанные с неинициализированной стековой памятью, и почему мы вообще этим занимаемся. Читать дальше →

подробнее »
5 июня 2020
Фирмы используют баг-баунти, чтобы купить молчание хакеров

Платформы баг-баунти — HackerOne, Bugcrowd и Synack — служат посредниками между белыми хакерами и компаниями, которые хотят улучшить безопасность своих продуктов. При правильном использовании логика простая: Хакер сообщает о найденной уязвимости. Компания-разработчик исправляет баг и перечисляет

подробнее »
21 апреля 2020
Статистика поисковых запросов

Статистика поисковых запросов Гость передачи: Калинин Андрей, руководитель разработки Поиск@Mail.ru Из передачи вы узнаете: — каковы демографические особенности поисковых запросов; — какую информацию можно получить в кабинете веб-мастера Webmaster.mail.ru; — как Mail.ru помогает поисковым

подробнее »
21 января 2015
Угнать за 9 символов

Сегодня я расскажу вам историю об уязвимости, которая существовала в одном интернет-банке много лет. Её эксплуатация была настолько элементарной, а опасность была настолько не очевидна, что ни кто так и не обратил на неё внимание. С этим банком у меня была договорённость о поиске уязвимостей и все

подробнее »
20 июля 2015
США запрашивают данные о пользователях Google чаще других стран, Россия — в 100 раз реже

Google подсчитал количество запросов, которые власти каждой отдельной страны делали в компанию с требованием предоставить данные о пользователях, и сколько таких запросов было удовлетворено.

подробнее »
11 апреля 2014
Утечка конфиденциальных данных при кешировании сетевых запросов на платформе iOS

Критичным аспектом в контексте информационной защищенности пользовательских данных является конфиденциальность передаваемых данных в процессе взаимодействия защищаемого приложения с веб-сервисами. Например, утрата конфиденциальности в приложениях, манипулирующих номером банковской карты и кодом

подробнее »
16 апреля 2014
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии