Alexander Kolesnikov (analis virus di perusahaan internasional) mengundang Anda ke kelas master “Dasar-dasar teknologi yang diperlukan untuk memahami kerentanan. Klasifikasi OWASP TOP 10 ” , yang akan diadakan dalam kursus profesional. Alexander juga membagikan artikel untuk pemburu bug pemula, di mana dia mengulas TOP 10 Kerentanan tahun 2020 yang ditemukan oleh platform HackerOne.
Idenya adalah menyiapkan bangku laboratorium untuk mempelajari kerentanan di atas ini. Anda dapat membaca tentang cara meluncurkan dan menemukan aplikasi contoh dengan kerentanan di sini . Tugas akan diselesaikan sebelum eksploitasi kerentanan yang melekat dalam aplikasi, langkah terakhir akan diserahkan kepada pembaca.
10 kerentanan TOP oleh HackerOne
— OWASP TOP 10. , OWASP TOP 10 2017 . . , :
OWASP , HackerOne . HackerOne :
Injection
Broken Authentication
Sensitive Data Exposure
Security Misconfiguration
, 3 .
Injection
Injection — , . . , python .
, . HTTP BurpSuite Community, :
admin — «Login».
, . , . , . . «source.zip». , , /, .
, :
, - Flask. , 2 - debug release. debug - 5000. , :
, . , . .
, :
.\views\user.py
, . , @login_required , - . , /admin/system/change_name/. , :
Lua Redis. , . Redis. python — pickle. .
Security Misconfiguration
, , . Security misconfiguration — , ..
, , file:///etc/passwd. . :
, , . , . file:///proc/self/cmdline :
uwsgi- . 8000. - «/usr/src/rwctf». uwsgi, .
Broken Authentication, Sensitive Data Exposure
Broken Authentication - , . Sensitive Data Exposure - , . , ..
, . , . dirbuster, , . uploads, HTTP 403. c . : /uploads../:
, . . . . .
, -. - .
Disclamer: .
. ? « -», - « ̆, ̆. OWASP TOP 10».