Временная скидка 60% на годовую подписку!

NoSQL

Xakep #293

HTB Mailroom. Эксплуатируем NoSQL-инъекцию через цепочку уязвимостей XSS и SSRF

В этом райтапе я покажу сразу несколько видов атак на веб‑приложения: мы проэксплуатируем XSS и SSRF, затем проведем инъекцию NoSQL, а получив доступ к скрытому сайту, найдем уязвимость внедрения команд и обойдем фильтр, чтобы получить RCE. Закончим трейсингом пользовательского процесса в Linux для перехвата вводимого в KeePass пароля.

Xakep #291

HTB Stocker. Используем генератор PDF для произвольного чтения файлов

В этом райтапе я покажу типичный сценарий захвата веб-сервера. Сначала проведем базовое сканирование сайта на предмет скрытых каталогов, затем проведем NoSQL-инъекцию, чтобы обойти авторизацию, и HTML-инъекцию, чтобы прочитать произвольные файлы. При повышении привилегий используем обход каталогов Bash для чтения пользовательского скрипта.

Тестирование производительности NoSQL БД

Несколько лет назад оказалось, что SQL внезапно устарел. И начали появляться и множиться NoSQL-решения, отбросившие язык SQL и реляционную модель хранения данных. Основные аргументы в поддержку такого подхода: возможность работы с большими данными (те самые Big Data), хранения данных в самых экзотичных структурах и, самое главное, возможность все это делать очень быстро. Давай посмотрим, насколько это получается у самых популярных представителей мира NoSQL.

Разоблачение мифа о безопасности NoSQL СУБД

Redis, MongoDB, memcached — все эти программные продукты относятся к классу нереляционных СУБД, противоположному популярным MySQL, Oracle Database и MSSQL. Так как интерес к перечисленным базам данных в последнее время значительно возрос, хакеры всех мастей просто не могли пройти мимо них. Давай же окунемся в увлекательный мир NoSQL-инъекций!

25 лет «Хакеру»!

Еженедельный дайджест

Спасибо за подписку! Мы будем присылать важные новости ИБ в еженедельном дайджесте
Ошибка при подписке Случилась ошибка при создании подписки на наш дайджест. Пожалуйста, попробуйте позднее
Важные события и скидка на подписку:
«ХАКЕР» ДОСТУПЕН ТОЛЬКО В ЭЛЕКТРОННОЙ ВЕРСИИ
Оформи подписку — получи:
  • доступ к платным материалам сайта
  • доступ ко всем номерам PDF
4000 р.
на год
920 р.
на месяц

«Хакер» в соцсетях

Материалы для подписчиков