Bardzo lubię takie materiały. Głównie dlatego, że kiedy widzę taki biały pentesting od kuchni to zaczynam się bardziej przejmować jak działają moje aplikacje xd
fajny materiał - piszę jako tester :) generalnie zauważam, że jest cześć programistów, którzy nie znają technologii tylko skupiają się na języku programowania i później są też ciekawe kwiatki.
Jestem studentem uczącym się .neta i chyba wliczam się do grona o którym piszesz. Wytłumaczyłbyś co ma na celu wpisywanie do urla 1==1;--; oraz web.config tak po krótce?
@hanz0hasash193 Tak byłoby idealnie: ' or 1=1; -- to jest SQL Injection do Microsoft DB. Jeśli kod nie escapuje znaków specjalnych: - pierwszy apostrof zamknie warunek - or 1=1 zwróci True - ;-- zakończy zapytanie bo wszystko po -- to jest komentarz Czyli oryginalne zapytanie: select * from images where id = '123' and uniqueid = 'abc' Wykona się tak: select * from images where id = '123' or 1=1;-- and uniqueid = 'abc'
Ej, ale film się urywa :( 2:12 A jeśli soft/system jest tylko wewnętrzny? Czy polskie nazewnictwo nie stanowi pewnego zabezpieczenia przed przestępcami?
Cześć z ciekawości .. Czy dostawca zrobił jakieś kroki i zmienił ci taryfę po filmiku, w którym pokazałeś jak można ich oskubać na kase? Albo po którymś z filmików jakaś firma się odezwała np co wbijałeś się na routery isp
4:22 Aplikowałem na stanowisko związane z finansami, ale sam się zastanawiałem dlaczego przedsiębiorstwo informatyczne ma taką słabą stronę, która się tak długo ładuje.
Podatność SQL Injection w aplikacji .NETowej (nawet .NET 4.8) jest dość trudno napisać. Trzeba wiedzieć co wyłączyć i co popsuć, bo tak samo z siebie to nie zadziała. To nie jest PHP.
Wszystko zależy od tego jak jest napisany kod. Jeśli parametry z url albo wartości z np. formularza są konkatowane ze query w postaci stringa, który później jest wysyłany do bazy, to nie widzę problemu
Jest prymitywnie prosto, wystarczy nie używać ORM-a jak człowiek, tylko pisać surowo SQL-ki, i nie używać parametryzacji zapytań. W .NET'cie też zdarzają się takie oryginały.
Uwierzcie mi, ze Asseco to taki Comarch bis, nikt ambitny tam nie pracuje bo nie wytrzymuje z niekompetentnym wysiedzianym betonowym management'em... tak to sie kończy.
Z tego co piszą na goworku, asseco to dobra firma w dwóch przypadkach: 1. na 1szą pracę, jak nie umiesz nic, bo biorą tam podobno kogokolwiek 2. NA emeryturę, jak ci brakuje lat bo wylecenie stamtąd jest prawie nierealne
>aplikujesz na cyber security >w oknie rejestracji bypassujesz whiteliste .pdf >wysyłasz exe-ka który po otwarciu wyswietli twoje cv i info ze mogli zostać zhakowani w taki sposób pracodawca znalazł idealnego kandydata