[Перевод] 23 000 $ за обход аутентификации, загрузку файлов и произвольную перезапись файлов

Операция выполнена!

info@vsetut.pro

Стать автором

Вернуться

[Перевод] 23 000 $ за обход аутентификации, загрузку файлов и произвольную перезапись файлов

19.11.2024 19:12:26 | Хабр

Хабы: Информационная безопасность, Bug hunters

Сегодня я поделюсь недавней интересной уязвимостью. Однако я не могу раскрыть название программы и домен, так как не получил разрешения на их публикацию.

Предположим, что целью является test.com.

Начав тестирование программы, я нашел способ обхода пользовательского интерфейса административной панели. Цель использует JSON Web Token (JWT) в качестве механизма аутентификации. Я уделил немало времени, чтобы разобраться и выявить возможные уязвимости на объектах программы, использующих JWT.

При входе на основной сайт test.com, для обычного пользователя генерируется JWT.

После изучения работы цели я начал собирать данные:

Читать далее

Подробнее

Читайте также

Что значит быть истовым инженером? Объясняют сами инженеры
19.11.2024 19:05:54 | vc.ru

Создаем многоагентные системы с Swarm от OpenAI
19.11.2024 19:04:32 | Хабр

Перечислены простые способы избавления от надоедливой мелодии в голове
19.11.2024 18:45:00 | ferra.ru

В МТУСИ предложили методику по нейросетевому распознаванию поврежденных штриховых кодов
19.11.2024 18:40:54 | Хабр

Установка Jupyter Notebook в Windows
19.11.2024 18:36:18 | Хабр

Тренер дал советы по кардиотренировкам женщинам 50+
19.11.2024 18:15:00 | ferra.ru

Плохие линии связи для 1С — поможет ли Apache?
19.11.2024 18:07:55 | Хабр

Эксперт рассказал, есть ли смысл отключать Wi-Fi, Bluetooth и GPS для экономии заряда
19.11.2024 18:00:00 | ferra.ru

Вести внешнеэкономическую деятельность и проводить международные расчёты…
19.11.2024 17:57:46 | vc.ru

Эксперт назвал сроки ремонта оборванного подводного интернет-кабеля между Литвой и Швецией
19.11.2024 17:42:01 | ferra.ru

Как команда без маркетологов, но с сильным продуктом и подходом к growth-хакингу смогла выйти на стабильный рост
19.11.2024 17:37:57 | Хабр

Ближайшее будущее с ИИ
19.11.2024 17:25:17 | Хабр

Официальный курс доллара превысил 100 рублей
19.11.2024 17:23:14 | vc.ru

Какао и зелёный чай оказались полезны при стрессе
19.11.2024 17:15:00 | ferra.ru

Google пытаются продать по частям
19.11.2024 16:51:42 | it-world

Пленка на чае. Блеск и нищета
19.11.2024 16:47:30 | Хабр

Jaguar представил новый логотип — без ягуара в нём
19.11.2024 16:44:21 | vc.ru

Кроссплатформенная архитектура ядра приложения. Простая. Линейная. Масштабируемая
19.11.2024 16:33:01 | Хабр

Появилась первая информация о возможных сроках выхода Resident Evil 9
19.11.2024 16:30:00 | ferra.ru

Компания из Подмосковья создала 3D-принтер для печати бетонных конструкций
19.11.2024 16:29:06 | ferra.ru

Россия бросает на борьбу с сорняком боевых роботов
19.11.2024 16:27:00 | ferra.ru

Как протез-трансформер поможет россиянам?
19.11.2024 16:25:44 | ferra.ru

Еда от учёных без вредных добавок
19.11.2024 16:24:57 | ferra.ru

Российские ученые использовали ИИ для оптимизации катализаторов водорода
19.11.2024 16:21:55 | ferra.ru

Российские ученые создали морозостойкий материал для арктических дорог
19.11.2024 16:18:37 | ferra.ru

Ученые создали виртуальный тур по древним петроглифам Алтая
19.11.2024 16:09:52 | ferra.ru

Компания-владелец брендов Curtis и «Майский» создала новые вкусы чая с помощью ИИ
19.11.2024 16:03:13 | ferra.ru

[Перевод] Рендеринг текста без текстур
19.11.2024 16:01:46 | Хабр

Российские врачи доказали вредность употребления алкоголя с энергетиками
19.11.2024 15:57:56 | ferra.ru

Huawei и Apple делят мировые рынки смартфонов
19.11.2024 15:55:00 | it-world

Instagram* начал тестировать функцию, которая позволит сбросить настройки рекомендаций контента в лентах
19.11.2024 15:52:54 | vc.ru

Nike впервые напечатала кроссовки на 3D-принтере
19.11.2024 15:45:00 | ferra.ru

МегаФон внедрил сервис уведомлений о регистрации новых номеров на абонента
19.11.2024 15:39:09 | ferra.ru

МТС Юрент начнет бесплатно страховать пешеходов от инцидентов с самокатами
19.11.2024 15:32:09 | ferra.ru

Быстрее некуда: собираем удобный поиск по коду из нескольких CLI-утилит
19.11.2024 15:32:07 | Хабр

Смотреть все

НОВОСТИ

Названы десять поломок, которые водители готовы починить сами
28.03.2026 14:30:00 | За рулем

МИД Таджикистана и посол РФ обсудили реализацию программ сотрудничества
19.03.2026 10:23:27 | ТАСС

АТОР: конфликт на Ближнем Востоке лишил россиян трети стыковочных маршрутов
19.03.2026 10:23:10 | ТАСС

В Курганской области при разборе завалов после взрыва газа нашли погибшего
19.03.2026 10:22:37 | ТАСС

Системы ПВО Саудовской Аравии сбили по меньшей мере восемь БПЛА
19.03.2026 10:21:42 | ТАСС

Право сильнейшего рождает новый Ближний Восток в огне войны, заявил политолог
19.03.2026 10:20:58 | Life.ru

Раскрыта реакция Китая на перенос встречи Трампа и Си Цзиньпина
19.03.2026 10:20:00 | Lenta.ru

В Узбекистане раскрыли канал наркотрафика в Россию
19.03.2026 10:19:03 | ТАСС

Задержанные за покушение на главу совета депутатов Новой Каховки готовили новые теракты
19.03.2026 10:18:04 | Lenta.ru

"Т-технологии" ожидают в 2026 году роста дивидендов более чем на 20%
19.03.2026 10:18:02 | ТАСС

Находившийся в браке россиянин потратил на проституток взятые в кредит для семьи миллионы
19.03.2026 10:18:00 | Lenta.ru

В Туве зафиксировали первый степной пожар
19.03.2026 10:17:43 | ТАСС

Косачев: разведка США признает право РФ отстаивать свои национальные интересы
19.03.2026 10:17:07 | ТАСС

Россиян предупредили о бесполезности ошейников и спреев для защиты питомцев от клещей
19.03.2026 10:16:20 | Life.ru

Усиление эскалации на Ближнем Востоке обвалило японский рынок акций
19.03.2026 10:15:59 | Lenta.ru

В Госдуме назвали средневековым судилищем решение Польши по делу российского археолога
19.03.2026 10:14:51 | Lenta.ru

В столице Ирана вновь заметили российские бронеавтомобили «Спартак»
19.03.2026 10:13:32 | Life.ru

Армия Израиля заявила об ударах по десяткам целей "Хезболлах" в Ливане
19.03.2026 10:13:22 | ТАСС

Цена газа на бирже в Европе превышает $850 за куб. м впервые с декабря 2022 года
19.03.2026 10:12:36 | ТАСС

"Интер РАО" увеличит инвестпрограмму в 2026 году
19.03.2026 10:12:08 | ТАСС

Раскрыт арсенал задержанных за покушение на главу совета депутатов Новой Каховки
19.03.2026 10:12:00 | Lenta.ru

В российском городе потрескались дороги после сильного землетрясения
19.03.2026 10:11:58 | Lenta.ru

Дагестан направил в Турцию повторный запрос о подтверждении смерти Абакарова
19.03.2026 10:11:30 | ТАСС

«Ростех» заявил о хирургической точности реактивной «Торнадо-С»
19.03.2026 10:11:15 | Lenta.ru

«Ростех» заявил о хирургической точности реактивного «Торнадо-С»
19.03.2026 10:11:00 | Lenta.ru

Индия намерена создавать истребитель шестого поколения в сотрудничестве с Европой
19.03.2026 10:10:55 | ТАСС

Стоимость нового жилья в России посчитали в зарплатах
19.03.2026 10:09:50 | Lenta.ru

В Магадане после землетрясения потрескались асфальт и штукатурка домов
19.03.2026 10:09:06 | ТАСС

Россияне весной массово устремились на один африканский остров
19.03.2026 10:08:11 | Lenta.ru

В Кузбассе ожидают очередную крупную партию карьерных самосвалов
19.03.2026 10:08:00 | Российская Газета

KUNA: на НПЗ в кувейтском порту Эль-Ахмади из-за удара БПЛА возник пожар
19.03.2026 10:07:58 | ТАСС

Вакантность на рынке складов Московского региона выросла до 6,1%
19.03.2026 10:07:48 | ТАСС

Euractiv: Зеленский заявил, что у Киева нет вариантов, кроме кредита в €90 млрд
19.03.2026 10:07:00 | Российская Газета

РБК: количество запретов на выезд за рубеж за год увеличилось на 41,5%
19.03.2026 10:06:23 | ТАСС

Целью теракта против главы Совета депутатов Новой Каховки было запугивание
19.03.2026 10:06:16 | ТАСС

Все новости

ВСЕ НОВОСТИ

ПИШИТЕ

Техническая поддержка проекта ВсеТут

info@vsetut.pro

Copyright © 2026 - vsetut.pro