Egy webalkalmazás - ha a fejlesztő nem volt elég körültekintő - rávehető olyan működésre, ami nem volt a fejlesztő célja. Az egyik ilyen hiba, ha az alkalmazást rá lehet venni előre nem tervezett fájlok beolvasására. A legrosszabb esetben akár külső URL-ről is.
A weblaklalmazásokkal szembeni támadásokról szóló sorozatunk ezen alkalmán a helyi- és távoli file inclusion támadások működését ismered meg. Megtanulod hogyan lehet egy - nem kellő odafigyeléssel elkészített - weblkalmazást rávenni a támadó által megadott, tetszőleges fájl beolvasására, annak megjelenítésére vagy futtatására. A bemutatott módszer lehetőséget ad akár helyi- (local file inclusion), akár távoli (remote file inclusion) fájl végrehajtására is.
A gyakorlati képzésen az oktató képernyőjén követed a támadások kivitelezését. A látottak és a hozzá tartozó részletes magyarázat segítségével megérted mitől működnek az LFI és RFI támadások és mire kell odafigyelj, hogy veled szemben ezt ne tudják megtenni.
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása
Az élő képzésen a részvétel ingyenes
Jelentkezz be a regisztrációhoz!
Bejelentkezés
Felhasználó létrehozása
Vegyél jegyet az élő képzésre!
Az ingyenes részvételhez túl kevés pontod van. Vásárolj jegyet vagy szerezz több pontot a korábbi képzések értékelésével!
Élő, online képzés
Jelentkezz be a regisztrációhoz!
Bejelentkezés
Felhasználó létrehozása
Vegyél jegyet az élő képzésre!
Az ingyenes részvételhez túl kevés pontod van. Vásárolj jegyet vagy szerezz több pontot a korábbi képzések értékelésével!
Az elmúlt hónapban 13 tanuló iratkozott be
Kiss Sándor
- 2022. január
Tanmenetek:Ethical Hacking, Webalkalmazások biztonsági vizsgálata
Élő képzés
-
Részvétel az élő, online képzésen
-
-
Két hétig megnézheted a felvételt
-
Levásárolható az oktatóvideóra
Regisztrálod magad az élő, online képzésre.
Részvétel az élő képzésen egyszeri alkalommal.
Az élő képzést követő két héten át
újranézheted az élő képzés felvételét.
A kifizetett díj két héten belül
levásárolható az oktatóvideóra.
Online oktatóvideó
-
Részvétel az élő, online képzésen
-
Bármikor megtekinthető oktatóvideó
-
Korlátlan hozzáférés az oktatóvideóhoz
-
Letölthető jegyzet és példa fájlok
Regisztrálod magad az élő, online képzésre.
Bármikor, a neked alkalmas
időpontban nézheted meg
a szerkesztett oktatóvideót.
Örök online hozzáférést
kapsz a szerkesztett
oktatóvideóhoz.
A képzéshez tartozó jegyzetet és
példafájlokat le tudod tölteni.
Letölthető oktatóvideó
-
Részvétel az élő, online képzésen
-
Letölthető oktatóvideó
-
Korlátlan hozzáférés az oktatóvideóhoz
-
Letölthető jegyzet és példa fájlok
Regisztrálod magad az élő, online képzésre.
A képzés videóit le tudod tölteni mp4 formátumban,
valamint bármikor megnézheted online is.
Örök online hozzáférést
kapsz a szerkesztett
oktatóvideóhoz.
A képzéshez tartozó jegyzetet és
példafájlokat le tudod tölteni.
Iratkozz be!
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – napijegy
- 24 óra hozzáférés a videókhoz
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – korlátlan
- Korlátlan hozzáférés a videókhoz
- Letölthető jegyzet- és példa fájlok
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – letöltés
- Korlátlan hozzáférés a videókhoz
- Letölthető jegyzet- és példa fájlok
- Letölthető videó
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – bérlettel
A netes biztonság iránt érdeklődőnek ajánlom, gondolat-ébresztőnek avagy az efféle tudásra éhezeknek évátgerjesztő előételnek.
TETSZETT:
1) Jók a diák, összefoglalják, kiemelik a lényeget, az előadás elején afféle áttekintést ad.
2) Sándor érthetően, összefügéseiben magyarázza el és mutatja be a gyakorlatban is dolgokat.
NEM TETSZETT:
1) 15″ FHD laptopkijelzőn NEM látszanak a szöveges részek sem a terminálban, sem a böngésző címsorában (ezt Sándor érzékelhette, mert több helyen kis felugró keretben nagyította a már számára is nehezen látható részeket); a rossz láthatóság a gyors befogadás, és az intenzív infó-folyam érthetőségét csökkenti, mivel az ember figyelmének a kívántnál nagyobb része a szöveges részek kisilabizálására megy el, és közben lemarad a pörgő szöveges rész egy részéről. Ráadásul az nem túl jó, hogy szöveg és a felugró ablak olvasása párhuzamosan megy. Olyankor kellene a szövegben tartani egy kis szünetet. Ha meg utólag lett rá téve, akkor meg még fenn kellene hagyni 2-3 másodperccel tovább, hogy a beszéd figyelése mellett legyen idő elolvasni a szöveget is.
2) Itt-ott kicsit jobban kellene tagolni a beszédet, mert néha túl gyorsan pörgeti Sándor az infót (és ez nem csak a felugró-keretek szövegei alatt igaz).
3) Értem, hogy ez egy sérülékenységvizsgálattal foglalkozó (ahogy Sándor kifejezte: egy offenzív nézőpontot képviselő) előadás , de legalább felsorolás szintjén meg kellene mutatni azt is, hogy mi az ellenszer (pl. milyen módon és/vagy eszközzel lehet az adott sérülékenységet megelőzni, vagy ha már benne van a kódban, akkor hogyan, milyen módon, mivel / milyen eszközzel, programmal patchelni. Tehát ha nem is egy kód-hardening részt, de legalább egy ezekkel foglalkozó, már bevált megoldásokat felsoroló listát hasznos lenne megmutatni, hogy legalább jó irányokba, a megoldások már jól kitaposott ösvényén induljon el az ember a hibák javítására (és ne mindenféle githubos és máshonnan összeszedett, a “many eyeballs” szűrésén át nem esett alkalmazásokkal töltse az ember az idejét fölöslegesen).
4) Iszonyatosan zavaró, hogy a DevOps akadémia logója átüt az áttetsző terminál-ablakokon. Egyszerűen brutálisan rontja az abban levő szövegek olvashatóságát az alóla a háttérből átvilágító logó.
5) A webinart meg-meg zavarja az inaktivitást megkérdező, csilingelés és a képernyő beszürkítése melletti pop-up keret . Ez minek van ?? Elvégre ha az ember figyel, akkor akár 40 percen keresztül sem kattintgat a webinar felületén, tehát nem aktívan figyel, csak ennek nincs kattintásos nyoma…. Másrészt meg, még ha nem is aktív, akkor sincs értelme, mert pl. ha elaludtam, akkor nyilván a munka utáni esti órákban már nem vagyok elég pihent ahhoz, hogy kövessem az előadást, és ezen az ébresztgetés sem segít. Másrészt meg ez olyan infantilis dolog, mintha egy apuka szólintgatná a gyermekét, hogy “figyelsz fiam ?” …. Ez nem csak zavaró, de bosszantóan tiszteletlen is a résztvevőkkel szemben.
Ha elugrottam a vécére, vagy bealudtam, akkor így jártam. Az én bajom, mert lemaradok. Ne kérje számon rajtam senki, elvégre nem tartozom elszámolással.
Kezdő webfejlesztőknek.
A képzés jól össze volt rakva, következetes, alapos.
Túl sok újat nem tudtam meg belőle, ami végső soron megnyugtató, de azért jó volt így rendszerezetten átismételni ezt a tudást, egyértelműen hasznos volt.
Webes keretrendszerek használatát mellőző kezdő, saját kódot író weblapfejlesztőknek.
A képzés gyakorlatiasan szemléltet olyan problémákat, amelyek miatt nagy körültekintésel szabad csak éles környezetbe kiengedni egy “php 24 óra alatt” szintű tudással rendelkező által készített kódot….
pl akit érdekel, hogy védje meg a webkiszolgálóját.
Nekem túl tömör, végére elvesztettem a fonalat.
hasznos informaciok
nekem neha lassu, a temahoz merten sokszor tul sok ido megy el olyanra, aminek az ismerete feltehetoen megvan annak, aki nezi