Poliglota to osoba znająca…

Poliglota to osoba znająca wiele języków. Ale termin ten ma również znaczenie w odniesieniu do kwestii związanych z bezpieczeństwem.
Dzisiaj w od #od0dopentestera 0dopentestera o plikach polyglot, które przyspieszają testowanie aplikacji internetowych.

Weźmy prosty atak XSS.
Dochodzi do niego jeżeli programista nie będzie odpowiednio filtrował danych pochodzących od użytkownika.
Te dane, mogą być wyświetlane na stronie w różnych miejscach – tak zwanych kontekstach.
Standardowo jeden payload – to jeden kontekst.

Aby sprawdzić czy błąd występuje w różnych kontekstach potrzebujemy różnych ciągów znaków.
Dlatego też w celu oszczędności czasu wykorzystuje się tak zwane polygloty.
Są to specjalnie ciągi znaków, które zostały przygotowane w taki sposób, aby działały w wielu kontekstach równocześnie.
Warto spojrzeć na stronę konkursu na najkrótszy polyglot, który jest w stanie przetestować aż 20 różnych miejsc na raz.

Tą idee można z powodzeniem stosować w innych miejscach np. w atakach SQL Injection.
Można tak również omijać wbudowane mechanizmy bezpieczeństwa tworząc plik .jpg, który równocześnie jest prawidłowym kodem #javascript

Masz pytanie na temat bezpieczeństwa? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany dodaj się do Mirkolisty.

#security #bezpieczenstwo #programowanie #programista15k #informatyka #it #nauka #technologia #ciekawostki #gruparatowaniapoziomu