• Leírás
  • Tanmenet
  • Kérdések
  • Értékelések

Egy webalkalmazás – ha a fejlesztő nem volt elég körültekintő – rávehető olyan működésre, ami nem volt a fejlesztő célja. Az egyik ilyen hiba, ha az alkalmazást rá lehet venni előre nem tervezett fájlok beolvasására. A legrosszabb esetben akár külső URL-ről is.

A weblaklalmazásokkal szembeni támadásokról szóló sorozatunk ezen alkalmán a helyi- és távoli file inclusion támadások működését ismered meg. Megtanulod hogyan lehet egy – nem kellő odafigyeléssel elkészített – weblkalmazást rávenni a támadó által megadott, tetszőleges fájl beolvasására, annak megjelenítésére vagy futtatására. A bemutatott módszer lehetőséget ad akár helyi- (local file inclusion), akár távoli (remote file inclusion) fájl végrehajtására is.

A gyakorlati képzésen az oktató képernyőjén követed a támadások kivitelezését. A látottak és a hozzá tartozó részletes magyarázat segítségével megérted mitől működnek az LFI és RFI támadások és mire kell odafigyelj, hogy veled szemben ezt ne tudják megtenni.

Course Information

Categories:

Képzés Instructor

Kiss Sándor Kiss Sándor Author

Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – korlátlan

9.990 Ft
  • Korlátlan hozzáférés minden tananyaghoz
  • Jegyzet

Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – letöltés

14.990 Ft
  • Korlátlan hozzáférés minden tananyaghoz
  • Letölthető videó
  • Jegyzet

Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – bérlettel

INGYENES
1 hónap hozzáférés
BÉRLETTEL

Webfejleszőknek ajánlom.

Rated 5,0 out of 5

Jól bemutatja mennyi sérülékenysége lehet egy web alkalmazásnak.

Avatar for Morvay Gábor
Morvay Gábor
2022-01-24

A netes biztonság iránt érdeklődőnek ajánlom, gondolat-ébresztőnek avagy az efféle tudásra éhezeknek évátgerjesztő előételnek.

Rated 4,0 out of 5

TETSZETT:

1) Jók a diák, összefoglalják, kiemelik a lényeget, az előadás elején afféle áttekintést ad.

2) Sándor érthetően, összefügéseiben magyarázza el és mutatja be a gyakorlatban is dolgokat.

NEM TETSZETT:

1) 15″ FHD laptopkijelzőn NEM látszanak a szöveges részek sem a terminálban, sem a böngésző címsorában (ezt Sándor érzékelhette, mert több helyen kis felugró keretben nagyította a már számára is nehezen látható részeket); a rossz láthatóság a gyors befogadás, és az intenzív infó-folyam érthetőségét csökkenti, mivel az ember figyelmének a kívántnál nagyobb része a szöveges részek kisilabizálására megy el, és közben lemarad a pörgő szöveges rész egy részéről. Ráadásul az nem túl jó, hogy szöveg és a felugró ablak olvasása párhuzamosan megy. Olyankor kellene a szövegben tartani egy kis szünetet. Ha meg utólag lett rá téve, akkor meg még fenn kellene hagyni 2-3 másodperccel tovább, hogy a beszéd figyelése mellett legyen idő elolvasni a szöveget is.

2) Itt-ott kicsit jobban kellene tagolni a beszédet, mert néha túl gyorsan pörgeti Sándor az infót (és ez nem csak a felugró-keretek szövegei alatt igaz).

3) Értem, hogy ez egy sérülékenységvizsgálattal foglalkozó (ahogy Sándor kifejezte: egy offenzív nézőpontot képviselő) előadás , de legalább felsorolás szintjén meg kellene mutatni azt is, hogy mi az ellenszer (pl. milyen módon és/vagy eszközzel lehet az adott sérülékenységet megelőzni, vagy ha már benne van a kódban, akkor hogyan, milyen módon, mivel / milyen eszközzel, programmal patchelni. Tehát ha nem is egy kód-hardening részt, de legalább egy ezekkel foglalkozó, már bevált megoldásokat felsoroló listát hasznos lenne megmutatni, hogy legalább jó irányokba, a megoldások már jól kitaposott ösvényén induljon el az ember a hibák javítására (és ne mindenféle githubos és máshonnan összeszedett, a “many eyeballs” szűrésén át nem esett alkalmazásokkal töltse az ember az idejét fölöslegesen).

4) Iszonyatosan zavaró, hogy a DevOps akadémia logója átüt az áttetsző terminál-ablakokon. Egyszerűen brutálisan rontja az abban levő szövegek olvashatóságát az alóla a háttérből átvilágító logó.

5) A webinart meg-meg zavarja az inaktivitást megkérdező, csilingelés és a képernyő beszürkítése melletti pop-up keret . Ez minek van ?? Elvégre ha az ember figyel, akkor akár 40 percen keresztül sem kattintgat a webinar felületén, tehát nem aktívan figyel, csak ennek nincs kattintásos nyoma…. Másrészt meg, még ha nem is aktív, akkor sincs értelme, mert pl. ha elaludtam, akkor nyilván a munka utáni esti órákban már nem vagyok elég pihent ahhoz, hogy kövessem az előadást, és ezen az ébresztgetés sem segít. Másrészt meg ez olyan infantilis dolog, mintha egy apuka szólintgatná a gyermekét, hogy “figyelsz fiam ?” …. Ez nem csak zavaró, de bosszantóan tiszteletlen is a résztvevőkkel szemben.

Ha elugrottam a vécére, vagy bealudtam, akkor így jártam. Az én bajom, mert lemaradok. Ne kérje számon rajtam senki, elvégre nem tartozom elszámolással.

Avatar for Kovács L. Tibor
Kovács L. Tibor
2022-01-24

Jól demonstrálta a képzés, hogy mennyire sérülékenyek lehetnek a php-s webalkalmazások, mennyire kinyithatják az ajtót hackereknek.

Rated 5,0 out of 5

Világos és látványos felépítésű volt, a példákon keresztül jól lehetett látni, hogy mennyiféle hiba lehet. A fiktív, de valós elemeket tartalmazó weblappal életszerű volt az egész.

Avatar for Sutóczki Miklós
Sutóczki Miklós
2022-01-24

Webfejleszőknek és hackereknek egyaránt

Rated 5,0 out of 5

Nagyon jó volt, de lehet érdemes lenne megvenni a képzést, mert sok új infót hallottam

Avatar for Parag Akos
Parag Akos
2022-01-24

Biztonsági szakembereknek kötelező

Rated 5,0 out of 5

Az előadó még mindig nagyon érti a dolgát!

Avatar for Judit
Judit
2022-01-24

Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – korlátlan

9.990 Ft

  • Korlátlan hozzáférés minden tananyaghoz
  • Jegyzet

Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – letöltés

14.990 Ft

  • Korlátlan hozzáférés minden tananyaghoz
  • Letölthető videó
  • Jegyzet

Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – bérlettel

INGYENES

1 hónap hozzáférés
BÉRLETTEL

Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása

26
tanuló
1
fejezet
9
tananyag
4,8
Rated 4,8 out of 5
4,8 csillag az 5-ből (47 értékelés alapján)
Kiss Sándor Kiss Sándor
Tanmenetek: ,