Основные блоги b.Z » Все блоги » Про интернет » [Перевод] 23 000 $ за обход аутентификации, загрузку файлов и произвольную перезапись файлов

[Перевод] 23 000 $ за обход аутентификации, загрузку файлов и произвольную перезапись файлов

Все блоги / Про интернет 19 ноября 2024 170   
Смотреть в Telegram Поделиться в TG

Сегодня я поделюсь недавней интересной уязвимостью. Однако я не могу раскрыть название программы и домен, так как не получил разрешения на их публикацию.

Предположим, что целью является test.com.

Начав тестирование программы, я нашел способ обхода пользовательского интерфейса административной панели. Цель использует JSON Web Token (JWT) в качестве механизма аутентификации. Я уделил немало времени, чтобы разобраться и выявить возможные уязвимости на объектах программы, использующих JWT.

При входе на основной сайт test.com, для обычного пользователя генерируется JWT.

После изучения работы цели я начал собирать данные:

Читать далее

Источник: Хабрахабр

  • Оцените публикацию
  • 0

💬 Комментарии

В связи с новыми требованиями законодательства РФ (ФЗ-152, ФЗ «О рекламе») и ужесточением контроля со стороны РКН, мы отключили систему комментариев на сайте.

🔒 Важно Теперь мы не собираем и не храним ваши персональные данные — даже если очень захотим.

💡 Хотите обсудить материал?

Присоединяйтесь к нашему Telegram-каналу:

https://t.me/blogssmartz

Нажмите кнопку ниже — и вы сразу попадёте в чат с комментариями

предыдущая статья
следующая статья

Похожие публикации

Ю-эксперт: Вкусный и здоровый гайд по юзабилити-тестированиям

В этой статье мы подробно рассказываем о том, как проводить удаленное модерируемое юзабилити-тестирование на наглядном примере Расскажу вам историю о том, как непродуманный интерфейс помешал мне сделать покупку. Однажды знакомый посоветовал почитать книгу Робертса «Шантарам», он так ярко и красочно

подробнее »
12 марта 2021
АвтоДилер: Сколько стоит автосервис?

Россия занимает 5 место в мире по величине автопарка. Ежегодное увеличение автопарка повышает спрос на услуги автомастерских, при этом текущий объем СТО неспособен покрыть весь рынок — автосервисы с каждым годом становятся все более доходным видом бизнеса. Сегодня изучим полный путь владельца СТО —

подробнее »
7 декабря 2021
Сергей Марин: Большие данные в рекламе и медиа. Что умеют технологии и как это работает

Большие данные давно стали неотъемлемой частью маркетинга, но они до сих пор окружены мифами. Может ли внедрение big data поднять продажи или компаниям лучше полагаться на свои коммерческие отделы, действительно ли сегодня маркетологи знают о своих потребителях все и заменит ли рекламистов и

подробнее »
4 мая 2020
Стив Альбини о внушающем оптимизм состоянии музыкальной индустрии — полная версия

Оригинал текста: The Guardian. Перевод - бюро переводов Lingoware. Музыкальный продюсер, лидер группы Shellac и автор эпохального эссе "Проблема с музыкой" (The Problem with Music), опубликованного в 1993 году, в своем выступлении на конференции в Мельбурне говорил о преимуществах Интернета,

подробнее »
24 ноября 2014
ppc.world: Нетоксичная реклама в соцсетях: 6 правил для таргетинга в myTarget

Команда агентства 19/84 в своем материале для ppc.world собрала рекомендации, которые сделают таргетированную рекламу в myTarget менее раздражающей и более интересной для пользователя. Senior PPC-специалист Мадихан Агатанов подробно о них рассказывает. С каждым годом рекламы в интернете становится

подробнее »
1 сентября 2020
Тоня Самсонова, «Яндекс.Q»: о травле, трафике и нейросетях в UGC

Roem публикует текстовую версию интервью основательницы The Question и главы «Яндекс.Q» Тони Самсоновой подкасту «Медиасреда». Разговор состоялся в декабре 2019 года. В беседе Тоня рассказала о: Создании нового сервиса на базе TheQuestion и «Яндекс.Знатоков». Том каким будет «Яндекс.Q». Как

подробнее »
11 апреля 2020
Меню сайта
ТОП-10
Архив публикаций
Авторизация
Комментарии