代码审计的艺术系列 第十二篇

0x00 背景

最近国外漏洞披露平台hackerone上,一位白帽子发现Uber 一修改任意账户密码的逻辑漏洞,获得了$10000美元的奖励。

所以如何通过代码审计来挖掘逻辑漏洞是安全研究人员和开发人员必须熟悉的技能。本篇将主要讲解代码审计中的任意用户密码重置的安全问题。

代码审计的艺术系列 第十一篇

0x00 前言

设计缺陷和逻辑相关的漏洞是目前漏洞挖掘者比较关注的。

最近在国外漏洞披露平台hackerone上就有位白帽子挖掘到了Uber的一个修改任意账户密码的逻辑漏洞获得了$10000的丰厚奖励。

代码审计的艺术系列 第九篇

0x00 前言:

本篇介绍的是文件包含漏洞,这也是属于一种非常常见的漏洞类型。产生的原因是传入的文件名没有经过合理的校验,从而让黑客包含了精心构造的文件最终造成的代码注入。所以一套源码快速发掘并利用文件包含getshell是这篇要讨论的,主要分为危险函数、本地文件包含、远程文件包含和截断技巧四方面展开。

代码审计的艺术系列 第八篇

0x00 前言:

接上篇白帽子分享之代码审计的艺术系列 第七篇提到了一个上传漏洞搜索和挖掘的简单案例。 文件上传漏洞是一种非常常见的漏洞类型,也是直接获取服务器权限最直接的方式,所以快速发掘一套源码文件上传漏洞进行getshell是这篇要讨论的,主要分为危险函数、上传技巧和条件竞争漏洞三方面展开。