Уязвимости при загрузке файлов возникают из-за небезопасной реализации функционала загрузки, особенно когда компонент выполняет слабую или вовсе не выполняет проверку загруженного файла. Критичность этого класса уязвимостей может быть разнообразной: от stored XSS до RCE.

Условия для успешной эксплуатации:
❣️ Доступ к файлу: необходимо знать полный путь к файлу, чтобы обратиться к нему.
❣️ Тип контента: если сервер меняет MIME-тип файла на безопасный, выполнение кода может стать невозможным.

Базовые методы эксплуатации:
❣️ Загрузка файла с вредоносным кодом, например, PHP-скрипта.
❣️ Обход client side ограничений (HTML-атрибут accept) с помощью прокси для изменения данных HTTP-запроса.

Обход защитных механизмов:
❣️ Черные списки расширений: использование нестандартных расширений или манипуляция именем файла.
❣️ Белые списки расширений: использование разрешенных расширений с вредоносным содержимым.
❣️ Проверка MIME-типа: загрузка файла с корректным MIME-типом, но вредоносным содержимым.

Примеры сложных атак:
❣️ Перезапись конфигурационных файлов (например, .htaccess) для изменения настроек сервера.
❣️ Использование магических байтов: изменение первых байтов файла для прохождения проверки типа.

💡 Важные советы:
❣️ Комбинируйте методы обхода для выявления слабых мест.
❣️ Учитывайте особенности технологий на стороне сервера и создавайте специализированный пэйлоад.
❣️ Не знаете, с каким списком имеете дело: черным или белым? Попробуйте загрузить файл с произвольным расширением. Если он был принят, скорее всего, используется черный список. Если загрузка отклонена, скорее всего, это строго определенный белый список.

🔗 Погрузиться подробнее
🔗 fuxploiderFuxploider сканер уязвимостей загрузки файлов и инструмент эксплуатации
🔗 Upload Scanner — сканер загрузки файлов для Burp Suite
🔗 FileUpload — расширение OWASP ZAP для поиска уязвимостей в функциональности загрузки файлов
🔗 Заметки на PayloadsAllTheThings

Уже успели выгореть после новогодних?

Как всегда наткнулся где-то на забавную методику по защите от выгорания (про которое уже говорили тут и здесь) под названием "3:3:3". Звучит как методика 20:20:20 для здоровья глаз, где мы 20 минут работаем за компьютером/смартфоном, 20 минут смотрим в даль, а потом 20 часов смотрим анимэ ✏️

На самом деле, схема выглядит рабочей, так что погнали разбираться 👇

⏲ Каждые 3 дня – даём себе отдохнуть и эмоционально перезагрузиться. Понятное дело, что работа самая себя не сделает, но в эти дни можно позволить себе брать минимум задач, радовать себя какими-то мелочами, от которых вы получаете искреннее удовольствие, а главное – минимум времени проводить за телефоном и в социальных сетях.

⏲ Каждые 3 недели – выходим куда-нибудь "в свет", в новые места, пробуем новые эмоции. Ни разу не были в театре или на органном концерте – красиво одеваемся и идём. Давно приметили новый ресторан, но никак до него не доберетесь – добираемся. В вашем городе остались неизведанные кварталы или исторические места – изучаем. Также можно попробовать для себя открыть какое-то новое хобби или попробовать новые активности: дрифт-школа, прыжок с парашютом, стрельба из лука.

⏲ Каждые 3 месяца – выезжаем куда-то из города и меняем обстановку на более длительный период. Важно поместить себя в какие-то новые условия, чем контрастнее – тем лучше. Не можете куда-то улететь – поездка за город тоже подойдет. Лично по моему опыту, это перезагружает сильнее всего.

Можете хоть в календаре у себя разметить все эти регулярные события, если вы такой же планировщик, как я. Ну а если у вас есть свои методы борьбы или предупреждения выгорания – вэлкам в комментарии.

#Мнение

⚡️ Пакет Безопасности | Чат | 🛍 Другие каналы

Ну что, готовы к крутой лекции по безопасности k8s от отца контейнеров @aleksey0xffd? OWASP k8s TOP 10, RBAC, security context для pod и контейнеров в нем, аутентификация и авторизация, безопасная конфигурация workloads, секреты, сегментация сети внутри кубера и многое другое.

В общем, вся база всего за час, а не за 10, как у практически всех площадок онлайн-образования. Смотрим, впитываем, образовываемся – ютуб и рутуб.

#BaseSecurity #DevSecOps

🧠 Твой Пакет Знаний

Как хакеры с алкоголизмом боролись

В Америке есть одна достаточно популярная и крупная группа компаний Stoli Group, которая занимается производством и распространением алкогольной продукции. Название уже навивает что-то знакомое. Это неспроста, ведь их флагманский продукт – Stoli Vodka, аналог которой можно было найти и на прилавках наших магазинов 👻

Собственно, в прошлом году одна хакерская группировка атаковала ресурсы этой группы компаний и пошифровала добрую часть их инфраструктуры, в результате чего Stoli Group пришлось подать на банкротство. Чтобы вы понимали масштаб трагедии, делают эти ребята далеко не только водку, а производят и продают они это всёю далеко не только в Штатах.

Всё закончилось настолько трагично, потому что, кто-то не выделил бюджет на ИБ в результате хакерской атаки была затронута система для автоматизации основных бизнес-процессов предприятия, таких как производство, продажи, логистика, бухгалтерия и управление персоналом. Из-за этого Stoli Group не смогли нормально отчитаться перед кредиторами и их обвинили в том, что они задолжали много денег.

На территории РФ у них кстати тоже были заводы, но их компания лишилась после того, как была признана экстремистской 😬

Так и живём.

⚡️ Пакет Безопасности | Чат | 🛍 Другие каналы