Telegram Group & Telegram Channel
Telegram Group » United States » Makrushin » Telegram Webview » Post 182
Makrushin
JavaScript prototype pollution: практика поиска и эксплуатации

«Если вы следите за отчетами исследователей, которые участвуют в bug bounty программах, то наверняка знаете про категорию уязвимостей JavaScript prototype pollution. А если не следите и встречаете это словосочетание впервые, то предлагаю вам закрыть этот пробел, ведь эта уязвимость может привести к полной компрометации сервера и клиента. Наверняка хотя бы один продуктов вашей (или не вашей) компании работает на JavaScript: клиентская часть веб-приложения, десктоп (Electron), сервер (NodeJS) или мобильное приложение.

Эта статья поможет вам погрузиться в тему prototype pollution (eng-версия статьи). В разделах “Особенности JavaScript” и “Что такое prototype pollution?” вы узнаете как работают объекты и прототипы JavaScript и как особенности их функционирования могут привести к уязвимостям. В разделах “Prototype pollution на сервере” и “Prototype pollution на клиенте” вы научитесь искать и эксплуатировать эту уязвимость на кейсах из реального мира. Наконец вы изучите способы защиты и почему самый распространенный способ защиты можно легко обойти.»

Исследование Никиты Ступина из команды Advanced Security Research (исследовательский центр Huawei), которое включено в «Top 10 web hacking techniques of 2021».
Хабр
JavaScript prototype pollution: практика поиска и эксплуатации
Если вы следите за отчетами исследователей, которые участвуют в bug bounty программах, то наверняка знаете про категорию уязвимостей JavaScript prototype pollution. А если не следите и встречаете это...
👍7
www.group-telegram.com/us/makrushin.com/182
1.15K views



group-telegram.com/makrushin/182
Create:
Last Update:

JavaScript prototype pollution: практика поиска и эксплуатации

«Если вы следите за отчетами исследователей, которые участвуют в bug bounty программах, то наверняка знаете про категорию уязвимостей JavaScript prototype pollution. А если не следите и встречаете это словосочетание впервые, то предлагаю вам закрыть этот пробел, ведь эта уязвимость может привести к полной компрометации сервера и клиента. Наверняка хотя бы один продуктов вашей (или не вашей) компании работает на JavaScript: клиентская часть веб-приложения, десктоп (Electron), сервер (NodeJS) или мобильное приложение.

Эта статья поможет вам погрузиться в тему prototype pollution (eng-версия статьи). В разделах “Особенности JavaScript” и “Что такое prototype pollution?” вы узнаете как работают объекты и прототипы JavaScript и как особенности их функционирования могут привести к уязвимостям. В разделах “Prototype pollution на сервере” и “Prototype pollution на клиенте” вы научитесь искать и эксплуатировать эту уязвимость на кейсах из реального мира. Наконец вы изучите способы защиты и почему самый распространенный способ защиты можно легко обойти.»

Исследование Никиты Ступина из команды Advanced Security Research (исследовательский центр Huawei), которое включено в «Top 10 web hacking techniques of 2021».

BY Makrushin




Share with your friend now:
group-telegram.com/makrushin/182

View MORE
Open in Telegram


Telegram | DID YOU KNOW?

Date: |

Pavel Durov, Telegram's CEO, is known as "the Russian Mark Zuckerberg," for co-founding VKontakte, which is Russian for "in touch," a Facebook imitator that became the country's most popular social networking site. The next bit isn’t clear, but Durov reportedly claimed that his resignation, dated March 21st, was an April Fools’ prank. TechCrunch implies that it was a matter of principle, but it’s hard to be clear on the wheres, whos and whys. Similarly, on April 17th, the Moscow Times quoted Durov as saying that he quit the company after being pressured to reveal account details about Ukrainians protesting the then-president Viktor Yanukovych. NEWS One thing that Telegram now offers to all users is the ability to “disappear” messages or set remote deletion deadlines. That enables users to have much more control over how long people can access what you’re sending them. Given that Russian law enforcement officials are reportedly (via Insider) stopping people in the street and demanding to read their text messages, this could be vital to protect individuals from reprisals. Ukrainian President Volodymyr Zelensky said in a video message on Tuesday that Ukrainian forces "destroy the invaders wherever we can."
from us


JavaScript prototype pollution: практика поиска и эксплуатации

 Makrushin TG
Webview: 182
Makrushin.Telegram Webview
Makrushin Telegram TG Channel
Telegram Updated:
Telegram Makrushin
FROM American