详细内容或原文请订阅后点击阅览
PHDays Fest 2 回顾:活动初步回顾
5 月 25 日,UCSB 渗透测试人员在国际网络节 Positive Hack Days 上进行了演讲。 Danila Urvantsev 和 Vlad Driev 与专业界分享了有助于分析数字基础设施安全的实际案例和建议。 UCSB 分析中心的安全分析专家 Danila Urvantsev 的演讲主题是识别多阶段 SQL 注入。 Danila 演示了在一定的操作序列后执行的 SQL 注入的示例,并讨论了使用 sqlmap 工具分析此类注入的方法。 “有些漏洞的复杂性在于,它们可能不是此时此刻执行,而是在一段时间之后或者在某个事件之后执行某些代码,即有一个延迟执行的选项。在报告中,我分享了我们团队在识别此类漏洞方面的经验,讨论了 SQLmap 工具和 Python 用于此类目的的功能,”Danila Urvantsev 评论道。 “如果一个流程的业务逻辑有多个阶段,那么在进行安全分析时需要检查每个阶段。请务必分析响应时间、响应代码、与外部服务的联系以及响应的长度。对于软件开发人员来说,在每个阶段确保用户代码在整个旅程的所有阶段都采用可接受的格式非常重要,而不仅仅是在第一个阶段,”Danila 强调。资深专家报告
来源:乌拉尔安全系统中心新闻频道5 月 25 日,UCSB 渗透测试人员在国际网络节 Positive Hack Days 上进行了演讲。 Danila Urvantsev 和 Vlad Driev 与专业界分享了有助于分析数字基础设施安全的实际案例和建议。
5 月 25 日,UCSB 渗透测试人员在国际网络节 Positive Hack Days 上进行了演讲。 Danila Urvantsev 和 Vlad Driev 与专业界分享了有助于分析数字基础设施安全的实际案例和建议。UCSB 分析中心的安全分析专家 Danila Urvantsev 的演讲主题是识别多阶段 SQL 注入。 Danila 演示了在特定操作序列后执行的 SQL 注入示例,并讨论了使用 sqlmap 工具分析此类注入的方法。
多阶段SQL注入检测“有些漏洞的复杂性在于,它们可能不是此时此刻执行,而是在一段时间或某个事件之后执行某些代码,即具有延迟执行选项。在报告中,我分享了我们团队在识别此类漏洞方面的经验,讨论了 SQLmap 工具和 Python 用于此类目的的功能,”Danila Urvantsev 评论道。
“如果一个流程的业务逻辑有多个阶段,那么在进行安全分析时需要检查每个阶段。请务必分析响应时间、响应代码、与外部服务的联系以及响应的长度。对于软件开发人员来说,在每个阶段确保用户代码在整个旅程的所有阶段都采用可接受的格式非常重要,而不仅仅是在第一个阶段,”Danila 强调。
在报告中,Vlad回顾了他自己为企业进行渗透测试的四个案例,这些案例显示了摄像机安全方面的主要漏洞: