Удалить нельзя эксплуатировать: как мы нашли уязвимость в установщике Битрикс
Методология тестирования на проникновение предполагает разделение поиска уязвимостей на несколько этапов. Один из первых этапов заключается в поиске легаси с известными уязвимостями, популярных мисконфигов и других low hanging fruits на периметре. Их эксплуатация проста и зачастую не требует от потенциального злоумышленника никакой квалификации, но последствия она может иметь серьезные, вплоть до получения удаленного доступа во внутреннюю инфраструктуру.
Так как тестирование на проникновение, как правило, ограничено временными рамками, подобные уязвимости проверяются в первую очередь, и наша задача - достичь максимального результата в минимальные сроки.
Это был тот случай, когда анализом самописного приложения или использованием готового модуля для Metasploit было не обойтись.
Читать далееИсточник: Хабрахабр
Похожие новости
- Как двухбуквенная технология проверяет трёхбуквенную организацию
- Как eBPF меняет правила безопасности и наблюдаемости в Kubernetes
- MediaGuru: Кейс: Как мы увеличили бронирования в 3 раза за один день с помощью Яндекс.Директ
- Каждый шестой рекламодатель малого бизнеса увеличил рекламный бюджет в пять раз за год
- 60% российских музеев используют технологии, но треть считает цифровизацию переоцененной
- Яндекс Директ запустил управление рекламой на базе ИИ в мессенджерах
- MARGO & Lil Pump взяли бронзу на премии НПБК за эффективную промо-кампанию трека Kukareku
- Креативная премия G8 Creative Awards 2026 открыла приём работ
- Как не получить бан в Claude: возможные причины и решения
- [Перевод] Модели угроз пакетных менеджеров