В данном вебинаре мы подробно рассмотрим практические основы уязвимости OS command injection. Данная уязвимость является одной из самых критичных уязвимостей в веб-приложениях. В качестве примера можно вспомнить нашумевший ImageTragick (https://imagetragick.com), который в том числе приводил к удаленному выполнению кода на серверах Facebook (https://4lemon.ru/2017-01-17_facebook_imagetragick_remote_code_execution.
html).Вебинар будет проведен с расчетом на новичков: уязвимость будет разобрана шаг за шагом, а все технические детали (например, исходный код на языке Python) будут подробно объяснены.
План вебинара:
- Знакомство с уязвимым сервисом;
- Проверка наличия уязвимости;
- Составление полезной нагрузки (payload) для демонстрации наличия уязвимости;
- Исправление уязвимого кода и поиск возможных обходов.
Спикер:
Никита Ступин, 3 года обеспечивает безопасность в компании Mail.Ru Group, находит уязвимости через Bug Bounty в сервисах таких компаний как GitHub, Airbnb, GitLab и многих других, выступает на конференциях: Insomnihack, Swiss Cyber Storm, OFFZONE, декан факультета ИБ в GeekBrains.