Dans cette vidéo, on parle de Bug Bounty, et plus particulièrement d'un bug trouvé par Keegan Ryan sur Zoom, qui lui permet d'activer la caméra des utilisateurs à distance en utilisant le logiciel.
On va parler injections SQL, bypass de filtres de sécurité, et abus sur le décodage UTF-8, et on va voir comment il a mélangé ces trois vulnérabilités pour pirater la caméra des utilisateurs de zoom.
00:00 : Introduction
00:50 : Remise en contexte
01:59 : De mystérieuses requêtes SQL...
03:06 : L'injection SQL ?
03:45 : Quand est-ce que zoom utilise ces requêtes ?
04:20 : Utilisation d'un débugueur
05:21 : SQLite
06:33 : Repérer l'utilisation des requêtes SQL
07:23 : Injection SQL
08:06 : Le filtre de sécurité
08:43 : Bypass le filtre de sécurité
09:07 : Vulnérabilités sur les mauvais décodages UTF-8
10:05 : Comportement de Zoom
11:10 : Exploitation de l'injection SQL
11:44 : Le rapport de Bug Bounty
12:05 : Outro
Le lien vers l'article de Keegan Ryan : / patched-zoom-exploit-a...
25 июн 2024