Разбор атаки на PassOffice: мой пропуск в базу данных

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

Разбор атаки на PassOffice: мой пропуск в базу данных

26.09.2025 09:13:46 | Хабр

Хабы: Блог компании Positive Technologies, Информационная безопасность, Тестирование IT-систем, CTF, Bug hunters

Привет, Хабр! На связи @mirez, в этой статье я подробно разберу, как решал задачу по получению бэкапа базы данных на киберучениях Standoff Standalone. Нашей целью была система управления гостями PassOffice, которую используют в бизнес-центрах.

Мы пройдем все этапы: от обнаружения уязвимости в debug-режиме Flask до получения полного контроля над сервером. В процессе исследуем обход двухфакторной аутентификации, SQL-инъекцию и подмену библиотек для выполнения произвольного кода.

Этот кейс наглядно демонстрирует, как цепь из нескольких уязвимостей приводит к критически опасному инциденту. Материал будет полезен как специалистам по безопасности, так и разработчикам, желающим понять типовые ошибки в защите веб-приложений.

Читать далее

Подробнее

Читайте также

Кустарные вакуумные триоды Клода Пайяра. Часть 1. Знакомство, общие положения
26.09.2025 09:01:39 | Хабр

Без головы но с идеями: как Strapi оживаляет Next.js (часть 2)
26.09.2025 09:00:41 | Хабр

Почему в космосе (пока) нет дата-центров. Часть третья: какие вычисления уже работают
26.09.2025 09:00:37 | Хабр

Крестоцветные овощи и ещё девять продуктов, которые вызывают вздутие живота
26.09.2025 09:00:29 | ferra.ru

Охота на призраков в JPEG: Практическое руководство по EXIF-стегоанализу
26.09.2025 08:43:23 | Хабр

[Перевод] Почему Python такой медленный? И вот что об этом думают эксперты
26.09.2025 08:30:33 | Хабр

Как победить CMake: отладка CMake-скриптов
26.09.2025 08:19:36 | Хабр

NVIDIA GeForce RTX 5090D V2 и стоит ли её покупать
26.09.2025 08:18:30 | Хабр

Используем сами, рекомендуем другим: об используемых в VK инструментах безопасности и новых сервисах VK Cloud
26.09.2025 08:16:39 | Хабр

Устрицы и другие продукты, в которых железа больше, чем в стейке
26.09.2025 08:15:33 | ferra.ru

В погоне за бутылочным горлышком: как веб 30 лет избавлялся от задержек
26.09.2025 08:13:29 | Хабр

Чтобы я сменил банк, вашему придется обанкротиться и возродиться, как это сделала «Точка»
26.09.2025 08:10:45 | Хабр

OnePlus 15 представлен официально: чип Snapdragon 8 Elite Gen 5 и прощание с Hasselblad
26.09.2025 08:07:50 | ferra.ru

Северный «Визит». Самый красивый домофон советской эпохи
26.09.2025 08:05:28 | Хабр

Цифра дня: Скольким россиянам смартфоны помогают быстрее работать?
26.09.2025 08:01:21 | ferra.ru

Microsoft вынудили продлить жизнь и сделать патчи безопасности Windows 10 бесплатными в Европе
26.09.2025 07:57:49 | ferra.ru

Теория всего от Стивена Вольфрама: простое объяснение для первого знакомства + немного философского осмысления
26.09.2025 07:57:49 | Хабр

Intel поднимет цены на процессоры Raptor Lake на 10%
26.09.2025 07:50:49 | ferra.ru

HONOR представила недорогой смартфон X9d 5G с батареей на 8300 мАч и ценой от $350
26.09.2025 07:43:48 | ferra.ru

Qualcomm представила Snapdragon X2 Elite Extreme с впаянной памятью, как у Apple
26.09.2025 07:36:48 | ferra.ru

Президент США Дональд Трамп подписал указ о сделке по TikTok
26.09.2025 07:31:52 | vc.ru

Xiaomi анонсировала глобальную версию планшета Pad Mini: 8,8-дюймовый 3K-дисплей и Dimensity 9400+
26.09.2025 07:29:47 | ferra.ru

T-ECD — кросс-доменный датасет для исследований в области рекомендательных систем
26.09.2025 07:29:21 | Хабр

Анализ модуля RF125 (125 кГц): дальность >5 м и мкА потребление
26.09.2025 07:27:52 | Хабр

Android Authority выяснило, на какой смартфон готовы перейти владельцы Samsung Galaxy
26.09.2025 07:15:47 | ferra.ru

Как мы научили ИИ превращать отзывы в деньги
26.09.2025 07:13:18 | Хабр

Обзор iPhone 17 Pro Max от GSMArena: мощный, автономный и… полный спорных решений
26.09.2025 07:08:46 | ferra.ru

Удваивая эффективность: термоэлектрическое охлаждение
26.09.2025 07:05:18 | Хабр

Бобина, VHS и стример. История одной из опорных технологий XX века. Часть 3
26.09.2025 07:05:12 | Хабр

Складные смартфоны HUAWEI почти в три раза популярнее моделей Samsung
26.09.2025 07:01:45 | ferra.ru

Мой опыт over-engineering: как 4 микросервиса на Spring Boot убили pet-проект
26.09.2025 07:01:11 | Хабр

Защита корпоративного номера от таргетинга. Как сохранить конфиденциальность данных
26.09.2025 07:00:10 | Хабр

Быстрый старт в CI на примере Flutter (под банальный Android и интересную «Аврору»)
26.09.2025 07:00:09 | Хабр

Динамическое планирование задач в NiFi
26.09.2025 07:00:04 | Хабр

VoiceReader — читаем вслух
26.09.2025 06:55:23 | Хабр

Смотреть все

СТАТЬ АВТОРОМ

НОВОСТИ

Германия запустит цифровую систему въезда в страну
26.09.2025 19:38:00 | Российская Газета

Важность взятия под контроль Юнаковки в Сумской области объяснили
26.09.2025 14:18:02 | Lenta.ru

У едва владеющих русским языком мигрантов обнаружили сертификаты от российского вуза
26.09.2025 14:16:56 | Lenta.ru

Симоньян поблагодарила всех молившихся за ее мужа
26.09.2025 14:16:55 | ТАСС

ВС РФ уничтожили технику ВСУ для возведения фортификаций
26.09.2025 14:16:48 | ТАСС

Гросси призвал стабилизировать ситуацию с ядерной программой Ирана
26.09.2025 14:15:46 | ТАСС

В Дагестане 19 Героев России посетили "Вахту Героев Отечества"
26.09.2025 14:15:29 | ТАСС

Подозреваемый в массовом отравлении в Ленобласти разводил спирт водой
26.09.2025 14:15:06 | Коммерсантъ

Руководителя дочерней компании "Облкоммунэнерго" освободили из-под стражи
26.09.2025 14:13:50 | ТАСС

Александрова проиграла во втором круге теннисного турнира в Пекине
26.09.2025 14:13:45 | ТАСС

Армия России заняла важный логистический хаб ВСУ — село Юнаковку. Как это повлияет на следующие бои?
26.09.2025 14:13:19 | Lenta.ru

Появились кадры с места производства смертельного алкоголя в российском регионе
26.09.2025 14:13:17 | Lenta.ru

Сырский анонсировал создание нового рода войск в ВСУ
26.09.2025 14:13:00 | Российская Газета

Песков оценил желание Зеленского выглядеть «воякой»
26.09.2025 14:12:46 | Lenta.ru

Посол РФ: неизвестные обманом вывезли россиянку в Мьянму с территории Таиланда
26.09.2025 14:12:12 | ТАСС

Быстрое падение цен на подержанные автомобили китайской марки объяснили
26.09.2025 14:11:59 | Lenta.ru

МО РФ предложило установить срок выплат мобилизованным при увольнении
26.09.2025 14:11:41 | ТАСС

В Египте заявили, что благодарны Путину за создание ядерной отрасли в республике
26.09.2025 14:11:20 | ТАСС

В Химках завершили ремонт роддома
26.09.2025 14:11:02 | ТАСС

Песков: Поставки российского газа в Турцию идут в полном объеме
26.09.2025 14:11:00 | Российская Газета

В России два года не могли похоронить штурмовавшего Авдеевку бойца СВО
26.09.2025 14:10:17 | Lenta.ru

Цена бензина АИ-92 на бирже снизилась после нескольких дней роста
26.09.2025 14:09:43 | ТАСС

Страны Европы запустят новую систему въезда
26.09.2025 14:09:36 | Lenta.ru

«Никогда не произойдёт»: Страна ЕС отвергла идею Мерца о кредите для Киева под замороженные активы РФ
26.09.2025 14:09:03 | Life.ru

Студия Kunos Simulazioni выпустила масштабное обновление 0.3 для Assetto Corsa EVO
26.09.2025 14:09:00 | PlayGround.ru

Лукашенко и Путин проводят рабочий завтрак в Кремле
26.09.2025 14:07:32 | ТАСС

Умер Тигран Кеосаян
26.09.2025 14:07:12 | РЕН ТВ

В шпионаже в пользу России обвинили двух нидерландских подростков
26.09.2025 14:06:20 | Lenta.ru

Топ-менеджера авиазавода уличили в подкупе начальника НИИ ВВС Минобороны России
26.09.2025 14:06:19 | Lenta.ru

В Кремле отреагировали на идею ЕС продлить антироссийские санкции без Венгрии
26.09.2025 14:06:10 | ТАСС

Второй сезон "Провожающей в последний путь Фрирен" получил дату выхода и новый постер
26.09.2025 14:06:02 | PlayGround.ru

В Москве открыли мемориальную доску художнику Виктору Чижикову
26.09.2025 14:05:46 | ТАСС

Москва может стать тропиками через 50 лет, но «вырыть море» не получится
26.09.2025 14:05:33 | Life.ru

Песков заявил об ухудшении переговорных позиций Украины с каждым днём
26.09.2025 14:05:31 | Life.ru

Энергоблок АЭС "Хормоз" в Иране планируют ввести в эксплуатацию к 2031 году
26.09.2025 14:05:31 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2025 - vsetut.pro