[Перевод] 23 000 $ за обход аутентификации, загрузку файлов и произвольную перезапись файлов - Все тут

Операция выполнена!

info@vsetut.pro

О проекте

Вернуться

[Перевод] 23 000 $ за обход аутентификации, загрузку файлов и произвольную перезапись файлов

19.11.2024 19:12:26 | Хабр

Хабы: Информационная безопасность, Bug hunters

Сегодня я поделюсь недавней интересной уязвимостью. Однако я не могу раскрыть название программы и домен, так как не получил разрешения на их публикацию.

Предположим, что целью является test.com.

Начав тестирование программы, я нашел способ обхода пользовательского интерфейса административной панели. Цель использует JSON Web Token (JWT) в качестве механизма аутентификации. Я уделил немало времени, чтобы разобраться и выявить возможные уязвимости на объектах программы, использующих JWT.

При входе на основной сайт test.com, для обычного пользователя генерируется JWT.

После изучения работы цели я начал собирать данные:

Читать далее

Подробнее

Читайте также

Что значит быть истовым инженером? Объясняют сами инженеры
19.11.2024 19:05:54 | vc.ru

Создаем многоагентные системы с Swarm от OpenAI
19.11.2024 19:04:32 | Хабр

Перечислены простые способы избавления от надоедливой мелодии в голове
19.11.2024 18:45:00 | ferra.ru

В МТУСИ предложили методику по нейросетевому распознаванию поврежденных штриховых кодов
19.11.2024 18:40:54 | Хабр

Установка Jupyter Notebook в Windows
19.11.2024 18:36:18 | Хабр

Тренер дал советы по кардиотренировкам женщинам 50+
19.11.2024 18:15:00 | ferra.ru

Плохие линии связи для 1С — поможет ли Apache?
19.11.2024 18:07:55 | Хабр

Эксперт рассказал, есть ли смысл отключать Wi-Fi, Bluetooth и GPS для экономии заряда
19.11.2024 18:00:00 | ferra.ru

Вести внешнеэкономическую деятельность и проводить международные расчёты…
19.11.2024 17:57:46 | vc.ru

Эксперт назвал сроки ремонта оборванного подводного интернет-кабеля между Литвой и Швецией
19.11.2024 17:42:01 | ferra.ru

Как команда без маркетологов, но с сильным продуктом и подходом к growth-хакингу смогла выйти на стабильный рост
19.11.2024 17:37:57 | Хабр

Ближайшее будущее с ИИ
19.11.2024 17:25:17 | Хабр

Официальный курс доллара превысил 100 рублей
19.11.2024 17:23:14 | vc.ru

Какао и зелёный чай оказались полезны при стрессе
19.11.2024 17:15:00 | ferra.ru

Google пытаются продать по частям
19.11.2024 16:51:42 | it-world

Пленка на чае. Блеск и нищета
19.11.2024 16:47:30 | Хабр

Jaguar представил новый логотип — без ягуара в нём
19.11.2024 16:44:21 | vc.ru

Кроссплатформенная архитектура ядра приложения. Простая. Линейная. Масштабируемая
19.11.2024 16:33:01 | Хабр

Появилась первая информация о возможных сроках выхода Resident Evil 9
19.11.2024 16:30:00 | ferra.ru

Компания из Подмосковья создала 3D-принтер для печати бетонных конструкций
19.11.2024 16:29:06 | ferra.ru

Россия бросает на борьбу с сорняком боевых роботов
19.11.2024 16:27:00 | ferra.ru

Как протез-трансформер поможет россиянам?
19.11.2024 16:25:44 | ferra.ru

Еда от учёных без вредных добавок
19.11.2024 16:24:57 | ferra.ru

Российские ученые использовали ИИ для оптимизации катализаторов водорода
19.11.2024 16:21:55 | ferra.ru

Российские ученые создали морозостойкий материал для арктических дорог
19.11.2024 16:18:37 | ferra.ru

Ученые создали виртуальный тур по древним петроглифам Алтая
19.11.2024 16:09:52 | ferra.ru

Компания-владелец брендов Curtis и «Майский» создала новые вкусы чая с помощью ИИ
19.11.2024 16:03:13 | ferra.ru

[Перевод] Рендеринг текста без текстур
19.11.2024 16:01:46 | Хабр

Российские врачи доказали вредность употребления алкоголя с энергетиками
19.11.2024 15:57:56 | ferra.ru

Huawei и Apple делят мировые рынки смартфонов
19.11.2024 15:55:00 | it-world

Instagram* начал тестировать функцию, которая позволит сбросить настройки рекомендаций контента в лентах
19.11.2024 15:52:54 | vc.ru

Nike впервые напечатала кроссовки на 3D-принтере
19.11.2024 15:45:00 | ferra.ru

МегаФон внедрил сервис уведомлений о регистрации новых номеров на абонента
19.11.2024 15:39:09 | ferra.ru

МТС Юрент начнет бесплатно страховать пешеходов от инцидентов с самокатами
19.11.2024 15:32:09 | ferra.ru

Быстрее некуда: собираем удобный поиск по коду из нескольких CLI-утилит
19.11.2024 15:32:07 | Хабр

Смотреть все

НОВОСТИ

Ростов – Ахмат: во сколько и где смотреть трансляцию матча, РПЛ
22.10.2025 11:21:00 | Sports.ru

SpaceX произвела шестой успешный пуск корабля Starship на глазах у Трампа
20.11.2024 02:08:29 | Life.ru

Депутат Шеремет назвал угрозы Зеленского в адрес России абсурдом
20.11.2024 02:08:00 | Российская Газета

МИД Кыргызстана объяснил согражданам новые правила пребывания в России
20.11.2024 02:05:00 | Российская Газета

Рафаэль Надаль провел последний матч в карьере
20.11.2024 02:02:00 | Sports.ru

The Times: Украина располагает около 50 ракетами ATACMS
20.11.2024 01:58:12 | ТАСС

Карпин — о прилете сборной России в Москву: «А кому-то еще 4 часа на автобусе»
20.11.2024 01:57:00 | Спорт-Экспресс

Мирный житель получил ранения в результате атаки ВСУ по Шебекино
20.11.2024 01:55:26 | Life.ru

"Известия": россиянам до 16 лет могут запретить управлять электросамокатами
20.11.2024 01:53:42 | ТАСС

Чиновники в США подтвердили применение ВСУ ATACMS в Брянской области
20.11.2024 01:52:22 | РБК

Мостовой о сборной России: «Мы ищем соперников и просто их уничтожаем. Футболистами их трудно назвать, но все равно. Скоро с нами будут отказываться играть»
20.11.2024 01:49:00 | Sports.ru

Фото с Байденом не спасло: Убитый под Брянском наёмник оказался элитным спецназовцем США
20.11.2024 01:46:10 | Life.ru

Лавров: Россия согласна с пунктом по Украине в итоговой декларации G20
20.11.2024 01:46:00 | Российская Газета

В Киеве отменили воздушную тревогу
20.11.2024 01:43:36 | ТАСС

НХЛ начала подготовку к церемонии по случаю рекорда Овечкина по голам в лиге
20.11.2024 01:43:00 | Спорт-Экспресс

Компания «Виола» оценила ущерб заводу в Белгородской области после падения БПЛА
20.11.2024 01:42:20 | Коммерсантъ

Сборная России вернулась в Москву
20.11.2024 01:40:00 | Спорт-Экспресс

Сборная России улетела из Волгограда, несмотря на угрозу БПЛА в области
20.11.2024 01:38:00 | Sports.ru

В СНГ обсуждают создание этнофольклорного фестиваля "Караван стран Содружества"
20.11.2024 01:36:04 | ТАСС

Блинкен назвал Гонсалеса избранным президентом Венесуэлы
20.11.2024 01:33:24 | ТАСС

Трамп приехал к месту запуска Starship компании Маска
20.11.2024 01:32:50 | РБК

Сакральная избирательная комиссия // Драма ватиканских выборов в фильме Эдварда Бергера «Конклав»
20.11.2024 01:31:45 | Коммерсантъ

Запас хрупкости // «Пессоа» в постановке Роберта Уилсона в Париже
20.11.2024 01:31:45 | Коммерсантъ

Неудивительное рядом // На фестивале «Дягилев P.S.» станцевали для Дягилева
20.11.2024 01:31:45 | Коммерсантъ

Мастера на все науки // Сотрудников IT-компаний готовят к преподавательской практике в вузах
20.11.2024 01:31:45 | Коммерсантъ

Найден код // Дефицит IT-кадров вынуждает разработчиков ПО идти на все готовое
20.11.2024 01:31:45 | Коммерсантъ

Водка озолотилась // На рынке появился новый премиальный бренд
20.11.2024 01:31:45 | Коммерсантъ

Знай свою жертву // Юрий Литвиненко о важности личных данных для кибермошенников
20.11.2024 01:31:45 | Коммерсантъ

Ставка перезвонила МТС // Контекст
20.11.2024 01:31:45 | Коммерсантъ

НОВАТЭК приманил топ-менеджера // Первым зампредом правления компании может стать Вадим Яковлев
20.11.2024 01:31:45 | Коммерсантъ

Дорогая моя столица // Предложение элитной недвижимости в Москве только растет
20.11.2024 01:31:45 | Коммерсантъ

Депутаты допустили домоуправство // Управляющим компаниям ЖКХ распишут критерии качества
20.11.2024 01:31:45 | Коммерсантъ

Опора вам не светит // За какую инфраструктуру энергоснабжающая компания может требовать оплаты от местных властей
20.11.2024 01:31:45 | Коммерсантъ

В музее РВСН выставили мертвые души // Бывший директор учреждения условно осужден за махинации
20.11.2024 01:31:45 | Коммерсантъ

Дети спасли от колонии только жену // Участники хищения денег осужденного полицейского получили сроки
20.11.2024 01:31:45 | Коммерсантъ

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2024 - vsetut.pro