Egy webalkalmazás - ha a fejlesztő nem volt elég körültekintő - rávehető olyan működésre, ami nem volt a fejlesztő célja. Az egyik ilyen hiba, ha az alkalmazást rá lehet venni előre nem tervezett fájlok beolvasására. A legrosszabb esetben akár külső URL-ről is.

A weblaklalmazásokkal szembeni támadásokról szóló sorozatunk ezen alkalmán a helyi- és távoli file inclusion támadások működését ismered meg. Megtanulod hogyan lehet egy - nem kellő odafigyeléssel elkészített - weblkalmazást rávenni a támadó által megadott, tetszőleges fájl beolvasására, annak megjelenítésére vagy futtatására. A bemutatott módszer lehetőséget ad akár helyi- (local file inclusion), akár távoli (remote file inclusion) fájl végrehajtására is.

A gyakorlati képzésen az oktató képernyőjén követed a támadások kivitelezését. A látottak és a hozzá tartozó részletes magyarázat segítségével megérted mitől működnek az LFI és RFI támadások és mire kell odafigyelj, hogy veled szemben ezt ne tudják megtenni.

Iratkozz be!

Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – napijegy

5.988 Ft
1 day hozzáférés

Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – korlátlan

11.988 Ft

Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – letöltés

17.988 Ft

Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – bérlettel

INGYENES
1 hónap hozzáférés
BÉRLETTEL

A netes biztonság iránt érdeklődőnek ajánlom, gondolat-ébresztőnek avagy az efféle tudásra éhezeknek évátgerjesztő előételnek.

Rated 4 out of 5

TETSZETT:

1) Jók a diák, összefoglalják, kiemelik a lényeget, az előadás elején afféle áttekintést ad.

2) Sándor érthetően, összefügéseiben magyarázza el és mutatja be a gyakorlatban is dolgokat.

NEM TETSZETT:

1) 15″ FHD laptopkijelzőn NEM látszanak a szöveges részek sem a terminálban, sem a böngésző címsorában (ezt Sándor érzékelhette, mert több helyen kis felugró keretben nagyította a már számára is nehezen látható részeket); a rossz láthatóság a gyors befogadás, és az intenzív infó-folyam érthetőségét csökkenti, mivel az ember figyelmének a kívántnál nagyobb része a szöveges részek kisilabizálására megy el, és közben lemarad a pörgő szöveges rész egy részéről. Ráadásul az nem túl jó, hogy szöveg és a felugró ablak olvasása párhuzamosan megy. Olyankor kellene a szövegben tartani egy kis szünetet. Ha meg utólag lett rá téve, akkor meg még fenn kellene hagyni 2-3 másodperccel tovább, hogy a beszéd figyelése mellett legyen idő elolvasni a szöveget is.

2) Itt-ott kicsit jobban kellene tagolni a beszédet, mert néha túl gyorsan pörgeti Sándor az infót (és ez nem csak a felugró-keretek szövegei alatt igaz).

3) Értem, hogy ez egy sérülékenységvizsgálattal foglalkozó (ahogy Sándor kifejezte: egy offenzív nézőpontot képviselő) előadás , de legalább felsorolás szintjén meg kellene mutatni azt is, hogy mi az ellenszer (pl. milyen módon és/vagy eszközzel lehet az adott sérülékenységet megelőzni, vagy ha már benne van a kódban, akkor hogyan, milyen módon, mivel / milyen eszközzel, programmal patchelni. Tehát ha nem is egy kód-hardening részt, de legalább egy ezekkel foglalkozó, már bevált megoldásokat felsoroló listát hasznos lenne megmutatni, hogy legalább jó irányokba, a megoldások már jól kitaposott ösvényén induljon el az ember a hibák javítására (és ne mindenféle githubos és máshonnan összeszedett, a “many eyeballs” szűrésén át nem esett alkalmazásokkal töltse az ember az idejét fölöslegesen).

4) Iszonyatosan zavaró, hogy a DevOps akadémia logója átüt az áttetsző terminál-ablakokon. Egyszerűen brutálisan rontja az abban levő szövegek olvashatóságát az alóla a háttérből átvilágító logó.

5) A webinart meg-meg zavarja az inaktivitást megkérdező, csilingelés és a képernyő beszürkítése melletti pop-up keret . Ez minek van ?? Elvégre ha az ember figyel, akkor akár 40 percen keresztül sem kattintgat a webinar felületén, tehát nem aktívan figyel, csak ennek nincs kattintásos nyoma…. Másrészt meg, még ha nem is aktív, akkor sincs értelme, mert pl. ha elaludtam, akkor nyilván a munka utáni esti órákban már nem vagyok elég pihent ahhoz, hogy kövessem az előadást, és ezen az ébresztgetés sem segít. Másrészt meg ez olyan infantilis dolog, mintha egy apuka szólintgatná a gyermekét, hogy “figyelsz fiam ?” …. Ez nem csak zavaró, de bosszantóan tiszteletlen is a résztvevőkkel szemben.

Ha elugrottam a vécére, vagy bealudtam, akkor így jártam. Az én bajom, mert lemaradok. Ne kérje számon rajtam senki, elvégre nem tartozom elszámolással.

Avatar for Kovács L. Tibor
Kovács L. Tibor
2022-01-24

Kezdő webfejlesztőknek.

Rated 4 out of 5

A képzés jól össze volt rakva, következetes, alapos.

Túl sok újat nem tudtam meg belőle, ami végső soron megnyugtató, de azért jó volt így rendszerezetten átismételni ezt a tudást, egyértelműen hasznos volt.

Avatar for Péter
Péter
2022-01-18

Webes keretrendszerek használatát mellőző kezdő, saját kódot író weblapfejlesztőknek.

Rated 4 out of 5

A képzés gyakorlatiasan szemléltet olyan problémákat, amelyek miatt nagy körültekintésel szabad csak éles környezetbe kiengedni egy “php 24 óra alatt” szintű tudással rendelkező által készített kódot….

Avatar for Tamás Tóth
Tamás Tóth
2022-01-18

pl akit érdekel, hogy védje meg a webkiszolgálóját.

Rated 4 out of 5

Nekem túl tömör, végére elvesztettem a fonalat.

Avatar for kertes.csaba@computerfutar.hu
2022-01-18

hasznos informaciok

Rated 4 out of 5

nekem neha lassu, a temahoz merten sokszor tul sok ido megy el olyanra, aminek az ismerete feltehetoen megvan annak, aki nezi

Avatar for Csanádi Norbert
Csanádi Norbert
2022-01-18
4.8
Rated 4.8 out of 5
4.8 csillag az 5-ből (47 értékelés alapján)
17 új tanuló a hónapban

Oktató

 Kiss Sándor

Kiss Sándor