Интиресно

Лазил по интернету наткнулся на видео одново хакера Tinkode он взламывал сервера наса,пентагона...неважно) нашол одно видео где он показывает взлом westerunion.cn там он показывает процес взлома очени интересно что за уязвимость он использовал какие статии на анчяте присуствуют о даном способе взлома.....

вот видео



по ево расказам он отменяет через curl переадресацыю и на саите сесии вечны и за ошибке отсуствие строки max-age=0 нужна инфа о способе взлома кто взламывал так и как чясто встречяется ето уязвимость? кароче как можно больше инфы

 

http://www.dvwa.co.uk/
Вот скачай дистрибутив на нем можешь отработать навыки
вот видео

 

Читабелен,даже я со своим знанием русского понимаю )
еще https://pentestlab.wordpress.com/2012/11/29/bypassing-file-upload-restrictions/

 

друг а что делается в видео а то непонятно и как в вестер унион нашлось ето ?

 

что ты прислал посмотрю прочитаю просто хочю узнать к чему всео

 

ну он там в багбаунти ,значит ковырял по полной сайт со всеми-то его знаниями

 

в видео что ты прислал там шелл заливается а в видео со взломом вестер унион он там в панели админа попадает сам не понял как

 

У него уже готовый html файл на столе с заранее сформированым запросом обхода в админку. Вот еще посмотри
http://rutracker.org/forum/viewtopic.php?t=5053796

 

как звучит " сформированым запросом обхода в админку" а парени даже екзамены по информатике нездал круто )))

 

ребят, я там предупреждения раздал не просто так, посты не по теме потрите, пожалуйста.
уязвимость в том, что у заголовка cache-control не был указан max-age, в связи с этим мы могли получить файл из кеша, т. к. сессия не истекала

 

спасибо просим прошение

 

а уязвимости имеет какую небуди название материала можеш скинуть,спасибо

 

security misconfiguration конкретного названия я не встречал