Command Injection

Nagranie niedostępne

Czy wiesz, że możliwość wykonania dowolnej komendy na serwerze, to jeden z najpoważniejszych błędów bezpieczeństwa? Aby Ci to zademonstrować, zaczniemy od prostego, podatnego kodu w Node.js. Następnie krok po kroku będziemy go ulepszać, dodając dodatkowe warstwy ochrony. Co najważniejsze, na bieżąco będziemy omijali te zabezpieczenia, demonstrując realne techniki ataku.

Dzięki temu:

  • Zrozumiesz problem od podszewki, poznając różne metody zabezpieczeń.
  • Nauczysz się mniej znanych technik ataki i obrony, które można zastosować w swojej pracy.
  • Dowiesz się, jakich niebezpiecznych konstrukcji unikać w swoim kodzie.
  • Zobaczysz popularne błędy programistów.

Dla kogo jest ten webinar?

  • Dla programistów, którzy chcą dowiedzieć się jak uniknąć wstrzykiwania poleceń.
  • Dla testerów, którzy chcą dowiedzieć się, jak szukać błędów command injection.
  • Dla pentesterów, którzy chcą nauczyć się, bardziej zaawansowanych metod obchodzenia zabezpieczeń.
  • Dla każdego, kto chce dowiedzieć się więcej na temat bezpieczeństwa stron.

Czego się dowiesz?

  • Jak wykonać dwie komendy wykorzystując średnik.
  • Czym różni się child_process.exec od child_process.execFile.
  • Jak ograniczyć zmienne środowiskowe, do których dostęp ma proces potomny?
  • Kiedy child_process.spawn to niebezpieczna konstrukcja?
  • Dlaczego " i ' czasami robią różnicę?
  • Jak ominąć zabezpieczenia wykorzystując mechanizm podstawienia poleceń?
  • Jak działa biblioteka shell-quote?
  • Jakie błędy można popełnić wykorzystując wyrażenia regularne?
  • Na czym polega atak argument injection?
  • Jak wygląda różnica pomiędzy listą dozwolonych i zablokowanych elementów?
  • Do czego służy mechanizm end-of-options?

Webinar jest darmowy, ale wymaga wcześniejszej rejestracji.

⏰ Szacowany czas trwania to 90 minut.

📅 Nagranie webinaru będzie dostępne do 18.05.2025 23:59.

Zapisz się do newslettera

Dołącz do newslettera, aby nie przegapić przyszłych webinarów

  • Powiadomię Cię o kolejnych webinarach

Chcę otrzymywać informacje o bezpłatnych i płatnych materiałach, produktach i usługach własnych oraz innych polecanych osób wysyłane przez Kacpra Szurka. Wiem, że mogę uzyskać odpłatny dostęp do ww. materiałów zgodnie z zasadami opisanymi w Regulaminie newslettera.