Command Injection

Czy wiesz, że możliwość wykonania dowolnej komendy na serwerze, to jeden z najpoważniejszych błędów bezpieczeństwa? Aby Ci to zademonstrować, zaczniemy od prostego, podatnego kodu w Node.js. Następnie krok po kroku będziemy go ulepszać, dodając dodatkowe warstwy ochrony. Co najważniejsze, na bieżąco będziemy omijali te zabezpieczenia, demonstrując realne techniki ataku.

Dzięki temu:

• Zrozumiesz problem od podszewki, poznając różne metody zabezpieczeń.
• Nauczysz się mniej znanych technik ataki i obrony, które można zastosować w swojej pracy.
• Dowiesz się, jakich niebezpiecznych konstrukcji unikać w swoim kodzie.
• Zobaczysz popularne błędy programistów.

Dla kogo jest ten webinar?

• Dla programistów, którzy chcą dowiedzieć się jak uniknąć wstrzykiwania poleceń.
• Dla testerów, którzy chcą dowiedzieć się, jak szukać błędów command injection.
• Dla pentesterów, którzy chcą nauczyć się, bardziej zaawansowanych metod obchodzenia zabezpieczeń.
• Dla każdego, kto chce dowiedzieć się więcej na temat bezpieczeństwa stron.

Czego się dowiesz?

• Jak wykonać dwie komendy wykorzystując średnik.
• Czym różni się child_process.exec od child_process.execFile.
• Jak ograniczyć zmienne środowiskowe, do których dostęp ma proces potomny?
• Kiedy child_process.spawn to niebezpieczna konstrukcja?
• Dlaczego " i ' czasami robią różnicę?
• Jak ominąć zabezpieczenia wykorzystując mechanizm podstawienia poleceń?
• Jak działa biblioteka shell-quote?
• Jakie błędy można popełnić wykorzystując wyrażenia regularne?
• Na czym polega atak argument injection?
• Jak wygląda różnica pomiędzy listą dozwolonych i zablokowanych elementów?
• Do czego służy mechanizm end-of-options?

Webinar jest darmowy, ale wymaga wcześniejszej rejestracji.

⏰ Szacowany czas trwania to 90 minut.

📅 Nagranie webinaru będzie dostępne do 18.05.2025 23:59.