Size: a a a

2020 July 18

P

PP in WebPwnChat
Он помоему уже на каждом углу валяется, даже там где темно и написяно, там все равно есть 13й окунь :)
источник

BF

Billy Fox in WebPwnChat
@agrrrdog а давно в Акунетиксе знали о возможности сделать SSTI в аспнете? Я до сегодняшнего дня вообще не знал что такое бывает.
источник

BF

Billy Fox in WebPwnChat
Даже на оваспе про ссти в аспе ничего не написано, только про скули обычные и инъекции командной строки, ну и десериализацию дотнета
источник

GD

Green Dog in WebPwnChat
Billy Fox
@agrrrdog а давно в Акунетиксе знали о возможности сделать SSTI в аспнете? Я до сегодняшнего дня вообще не знал что такое бывает.
Весной статья была - добавили
источник

GD

Green Dog in WebPwnChat
Billy Fox
Даже на оваспе про ссти в аспе ничего не написано, только про скули обычные и инъекции командной строки, ну и десериализацию дотнета
Овасп медленно обновляют
источник

R

Ref in WebPwnChat
Green Dog
Весной статья была - добавили
о привет саппорт
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
https://www.adsoftheworld.com/media/film/kaspersky_the_first_appeal_of_the_technologies
Касперский:
There won’t be any hackers at all. And only organic coexistence of people and technology will establish.
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
источник

А

Алексей in WebPwnChat
Делать людям нечего
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
я просто когда вчера смотрел эту идилличную рекламу касперского, у меня сразу в голове всплывала реклама из какой нибудь антиутопии, где в конце обязательно что-то пойдет не так, и покажет что вся эта идиллия это bullshit, типа там взорвется что то в умном доме, или жителю кислород отрубит)
а буквально на следующий день, смотрю, эта новость
источник

CS

Colmanno Sebastiani in WebPwnChat
сам по себе иот одна большая дырка
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
ну я больше думал глобально, что чем больше всего будет автоматизировано и перейдет в цифру, тем больше возможностей зловредной эксплуатации, что прямо вразрез идет с рекламным фильмом выше
источник

CS

Colmanno Sebastiani in WebPwnChat
просто сам по осебе иот конкурирует со ценовым дном и там в целом нет каких-то стандартов
источник

CS

Colmanno Sebastiani in WebPwnChat
когда у тебя речь в смете идет про какой-то доллар, то последнее о чем ты будешь думать так это секьюрити
источник

CS

Colmanno Sebastiani in WebPwnChat
у нас в лабе сидит квалком и отдает аспирантам свои иот девоборды на тесты
источник

CS

Colmanno Sebastiani in WebPwnChat
говорят вообще страх, что творится
источник

᠌᠌Sh1Yo in WebPwnChat
Можно ли как то байпасснуть google storage restrictions с path traversal? Есть приложение, которое создает signed URL для storage.googleapis.com/{{company}}/backups/{{data}}_{{user_input}}, но с помощью %2f..%2f можно снизиться на один каталог в низ. Проблема в том, что если использовать path traversal - signed URL не совпадает, возможно, сначала создается подпись, а потом уже url преобразуется . Т.е {{company}}/backups/{{data}}%2f..%2f{{anotherdata}} -> {{company}}/backups/{{anotherdata}}?X-Goog-Algorithm=
GOOG4-RSA-SHA256&etc...
и, если обратиться по ссылке, то пишет, что сигнатуры не совпадают. Также пытался переместить сигнатуру на начальную URL и запросить т.е {{company}}/backups/{{data}}%2f..%2f{{anotherdata}}?X-Goog-Algorithm=
GOOG4-RSA-SHA256&etc
, но это также не помогло и сигнатура не совпадает. Если использовать вместо %2f..%2f /../ то google storage делает 301 редирект и преобразует URL, соответственно,  сигнатура снова на совпадает
источник

VP

Vladimir 0D0A Polyak... in WebPwnChat
Colmanno Sebastiani
у нас в лабе сидит квалком и отдает аспирантам свои иот девоборды на тесты
да, как раз обсуждали с Сергеем Бобровым пару дней назад, он рассказывал что фактически любая даже XSS в IOT это уже CVE, что логично, в силу особенностей дистрибуции. Для сайта накатил обновление, и все, нету баги. А в IOT в данной версии прошивки бага уже навсегда есть. И не факт что удастся всех дистанционно обновить, многие устройства такой опции не имеют. Другое дело что я бы не привязывался к словам IOT, потому что через n лет это уже будет не что-то отдельное, а банальный веб/мобилки, просто в другой упаковке
источник

CS

Colmanno Sebastiani in WebPwnChat
ну пока что даже самого понятия иот нет
источник

s

s̢̍̌͗ͧͫ͊ͧͫͮ̂̒̇̅̌̐͆́͡... in WebPwnChat
Vladimir 0D0A Polyakov\x00
да, как раз обсуждали с Сергеем Бобровым пару дней назад, он рассказывал что фактически любая даже XSS в IOT это уже CVE, что логично, в силу особенностей дистрибуции. Для сайта накатил обновление, и все, нету баги. А в IOT в данной версии прошивки бага уже навсегда есть. И не факт что удастся всех дистанционно обновить, многие устройства такой опции не имеют. Другое дело что я бы не привязывался к словам IOT, потому что через n лет это уже будет не что-то отдельное, а банальный веб/мобилки, просто в другой упаковке
Любая XSS в продукте это всегда CVE :)
источник