أمان الويب بواسطة Bugbounty

يدعوك ألكسندر كولسنيكوف (محلل فيروسات في شركة دولية) إلى فصل دراسي بعنوان "أساسيات التقنيات اللازمة لفهم نقاط الضعف. تصنيف OWASP TOP 10 " ، والذي سيعقد ضمن الدورة المهنية. شارك ألكساندر أيضًا مقالًا لصيادي الأخطاء المبتدئين ، حيث يستعرض أهم 10 نقاط ضعف لعام 2020 والتي تم العثور عليها بواسطة منصة HackerOne.

الفكرة على النحو التالي - لإعداد مقعد مختبر لدراسة نقاط الضعف في هذا الجزء العلوي. يمكنك أن تقرأ عن كيفية إطلاق والعثور على تطبيق المثال مع الضعف هنا . سيتم حل المهام قبل استغلال الثغرة الأمنية الكامنة في التطبيق ، وستترك الخطوة الأخيرة للقراء.

أهم 10 نقاط ضعف بواسطة HackerOne

. :

         — OWASP TOP 10. , OWASP TOP 10 2017 . . , :

OWASP , HackerOne . HackerOne :

  • Injection

  • Broken Authentication

  • Sensitive Data Exposure

  • Security Misconfiguration

, 3 .

Injection

Injection — , . . , python .

, «Real World CTF». .

         , . HTTP BurpSuite Community, :

  admin — «Login».

, . , . , . . «source.zip». , , /, .

, :

, - Flask. , 2 - debug release. debug - 5000. , :

, . , . .

, :

.\views\user.py

, . , @login_required , - . , /admin/system/change_name/. , :

Lua Redis. , . Redis. python — pickle. .

Security Misconfiguration

, , . Security misconfiguration — , ..

«Real World CTF». :

, , file:///etc/passwd. . :

, , . , . file:///proc/self/cmdline :

uwsgi- . 8000. - «/usr/src/rwctf». uwsgi, .

Broken Authentication, Sensitive Data Exposure

Broken Authentication - , . Sensitive Data Exposure - , . , ..

, , . «353 CTF».   . :

, . , . dirbuster, , . uploads, HTTP 403. c . : /uploads../:

, . . . . .

, -. - .

Disclamer: .


. ? « -», - « ̆, ̆. OWASP TOP 10».




All Articles