يدعوك ألكسندر كولسنيكوف (محلل فيروسات في شركة دولية) إلى فصل دراسي بعنوان "أساسيات التقنيات اللازمة لفهم نقاط الضعف. تصنيف OWASP TOP 10 " ، والذي سيعقد ضمن الدورة المهنية. شارك ألكساندر أيضًا مقالًا لصيادي الأخطاء المبتدئين ، حيث يستعرض أهم 10 نقاط ضعف لعام 2020 والتي تم العثور عليها بواسطة منصة HackerOne.

الفكرة على النحو التالي - لإعداد مقعد مختبر لدراسة نقاط الضعف في هذا الجزء العلوي. يمكنك أن تقرأ عن كيفية إطلاق والعثور على تطبيق المثال مع الضعف هنا . سيتم حل المهام قبل استغلال الثغرة الأمنية الكامنة في التطبيق ، وستترك الخطوة الأخيرة للقراء.
أهم 10 نقاط ضعف بواسطة HackerOne

— OWASP TOP 10. , OWASP TOP 10 2017 . . , :

OWASP , HackerOne . HackerOne :
Injection
Broken Authentication
Sensitive Data Exposure
Security Misconfiguration
, 3 .
Injection
Injection — , . . , python .

, . HTTP BurpSuite Community, :

admin — «Login».

, . , . , . . «source.zip». , , /, .
, :

, - Flask. , 2 - debug release. debug - 5000. , :

, . , . .
, :
.\views\user.py
, . , @login_required , - . , /admin/system/change_name/. , :

Lua Redis. , . Redis. python — pickle. .

Security Misconfiguration
, , . Security misconfiguration — , ..

, , file:///etc/passwd. . :

, , . , . file:///proc/self/cmdline :

uwsgi- . 8000. - «/usr/src/rwctf». uwsgi, .
Broken Authentication, Sensitive Data Exposure
Broken Authentication - , . Sensitive Data Exposure - , . , ..

, . , . dirbuster, , . uploads, HTTP 403. c . : /uploads../:

, . . . . .
, -. - .
Disclamer: .
. ? « -», - « ̆, ̆. OWASP TOP 10».