Egy webalkalmazás - ha a fejlesztő nem volt elég körültekintő - rávehető olyan működésre, ami nem volt a fejlesztő célja. Az egyik ilyen hiba, ha az alkalmazást rá lehet venni előre nem tervezett fájlok beolvasására. A legrosszabb esetben akár külső URL-ről is.
A weblaklalmazásokkal szembeni támadásokról szóló sorozatunk ezen alkalmán a helyi- és távoli file inclusion támadások működését ismered meg. Megtanulod hogyan lehet egy - nem kellő odafigyeléssel elkészített - weblkalmazást rávenni a támadó által megadott, tetszőleges fájl beolvasására, annak megjelenítésére vagy futtatására. A bemutatott módszer lehetőséget ad akár helyi- (local file inclusion), akár távoli (remote file inclusion) fájl végrehajtására is.
A gyakorlati képzésen az oktató képernyőjén követed a támadások kivitelezését. A látottak és a hozzá tartozó részletes magyarázat segítségével megérted mitől működnek az LFI és RFI támadások és mire kell odafigyelj, hogy veled szemben ezt ne tudják megtenni.
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása
Iratkozz be!
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – napijegy
- 24 óra hozzáférés a videókhoz
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – korlátlan
- Korlátlan hozzáférés a videókhoz
- Letölthető jegyzet
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – letöltés
- Korlátlan hozzáférés a videókhoz
- Letölthető jegyzet
- Letölthető videó
Webalkalmazások sérülékenységei: helyi- és távoli fájlok beszúrása – bérlettel
Kezdő webfejlesztőknek.
A képzés jól össze volt rakva, következetes, alapos.
Túl sok újat nem tudtam meg belőle, ami végső soron megnyugtató, de azért jó volt így rendszerezetten átismételni ezt a tudást, egyértelműen hasznos volt.
Minden olyan szakembernek aki érdeklődik Web Secuirty iránt
Tetszett a gyakorlatias megközelítés, az egyes bemutatott példák érthető magyarázata, valamint a figyelem felhívása a tágabb összefüggésekre.
Igazából nem volt olyan pont ami ne tetszett volna.
Aki az internet másik oldalán, vagyis szerverek és fejlesztést oldalán dolgozik.
Fantasztikus volt és nagyon szemléletes bemutató.
Tetszett a részletekbe belemenő, érthető magyarázat.
Nyilván egy demó képzés volt, de már ebből is nagyon sokat lehetett tanulni.
Webes keretrendszerek használatát mellőző kezdő, saját kódot író weblapfejlesztőknek.
A képzés gyakorlatiasan szemléltet olyan problémákat, amelyek miatt nagy körültekintésel szabad csak éles környezetbe kiengedni egy “php 24 óra alatt” szintű tudással rendelkező által készített kódot….
A php (és általánosan a web)programozás során elkövetett hibák (inputellenőrzés hiánya) egy részét a szerverbeállításokkal ki lehet védeni (ill. a fejlesztői beállítások messze nem azonosak az éles szerver beállításaival). Általánosabban megfogalmazva: nem lehet elégszer hangsúlyozni _minden input_ ellenőrzésének a szükségességét.
Jó volt, több típusát mutatta be (lényegében ugyanannak a hibának: inputellenőrzés nélkül adatot beengedni életveszély.
18 új tanuló a hónapban
Oktató
Kiss Sándor
Tanmenetek:Ethical Hacking, Webalkalmazások biztonsági vizsgálata
- Készült: 2022. január