«Hack Me на TryHackMe», или Небезопасное изучение инфобеза на известной платформе
Привет, Хабрчане. Сегодня мы поговорим об одной проблеме, которую обнаружил мой хороший знакомый Иван Глинкин.
Это очень серьезный косяк с безопасностью платформы для обучения пентесту TryHackMe. Заключается он в том, что виртуальные стенды видят абсолютно все в сети, и их можно использовать для атаки на пользователей сервиса.
Когда мы подключаемся по VPN к платформе, мы не можем взаимодействовать с другими хостами в сети, кроме самих виртуальных машин для взлома. Верно? Верно!
Ну, а что по поводу самих виртуальных стендов? Они-то, наверное, тоже не могут взаимодействовать с кем попало? А вот и нет! Виртуальный стенд, как оказалось, видит всех и вся в сети ...
Читать далееИсточник: Хабрахабр
Похожие новости
- CDP без мифов: зачем бизнесу собственные данные и как наиболее эффективно работать с ними
- Яндекс.Полуразврат или при чём тут Crypt?
- В России разработали инструмент для оценки безопасности сетей 5G
- [Перевод] Обходим CSP nonce через дисковый кеш браузера
- arcsinus: Почему ваш бот такой тупой? Как RAG с графами знаний помогает ботам понимать бизнес, а не слова
- Шухрат Мамасыдыков: Кейс: Простое решение, как бренду одежды снизить цену за продажу на 40%
- СберСеллер протестировал новые рекламные возможности на каршерингах Ситидрайва
- Мой первый VPS: Чек-лист по превращению «голой» машины в маленькую крепость (Часть 1)
- МТС Твой бизнес: Россияне рассказали, каким банкам они доверяют
- Как фестивали объединяют людей. Опыт организации и диджитал-продвижения Пикника Афиши