White Box Formulas - Vulnerable Coding Patterns (Ep. 54)

Поделиться
HTML-код
  • Опубликовано: 5 авг 2024
  • Episode 54: In this episode of Critical Thinking - Bug Bounty Podcast Justin and Joel are back with news items and new projects. Joel shares about his personal scraping project to gather data on bug bounty programs and distribution Next, they announce the launch of HackerNotes, a podcast companion that will summarize the main technical points of each episode. They also discuss a recent GitLab CVE and an invisible prompt injection, before diving into a discussion (or debate) about vulnerable code patterns.
    Follow us on twitter at: @ctbbpodcast
    We're new to this podcasting thing, so feel free to send us any feedback here: info@criticalthinkingpodcast.io
    Shoutout to YTCracker for the awesome intro music!
    ====== Links ======
    Follow your hosts Rhynorater & Teknogeek on twitter:
    / 0xteknogeek
    / rhynorater
    ====== Ways to Support CTBBPodcast ======
    Sign up for Caido using the referral code CTBBPODCAST for a 10% discount.
    Hop on the CTBB Discord at ctbb.show/discord!
    We also do Discord subs at $25, $10, $5 - premium subscribers get access to private masterclasses, exploits, tools, scripts, un-redacted bug reports, etc.
    Gitlab CVE
    github.com/Vozec/CVE-2023-7028
    about.gitlab.com/releases/202...
    Fix commit: gitlab.com/gitlab-org/gitlab/...
    Invisible Prompt Injection
    x.com/goodside/status/1745511...
    Regex 101
    regex101.com
    Regex to Strings
    www.wimpyprogrammer.com/regex...
    Timestamps
    (00:00:00) Introduction
    (00:01:54) Joel’s H1 Data Scraping Research
    (00:19:23) HackerNotes launch
    (00:21:29) Gitlab CVE
    (00:27:45) Invisible Prompt Injection
    (00:33:52) Vulnerable Code Patterns
    (00:37:51) Sanitization, but then modification of data afterward
    (00:45:39) Auth check inside body of if statement
    (00:48:15) sCheck for bad patterns with if, but then don't do any control flow
    (00:50:21) Bad Regex
    (01:00:36) Replace statements for sanitization
    (01:04:32) Anything that allows you to call functions or control code flow in uncommon ways
  • НаукаНаука

Комментарии • 4

  • @odenko7680
    @odenko7680 6 месяцев назад +2

    Ayo guys, this is why i love this channel
    I was thinking about this topic "Vulnerable Coding Patterns" this week, then u guys put a video about it .
    I will watch the video now, thank you

  • @user-mo8uj9vq5u
    @user-mo8uj9vq5u 6 месяцев назад

    you guys are funny as hell and im learning tons.

  • @opchannel8141
    @opchannel8141 6 месяцев назад +1

    I know am dumb, but what is that c.. something bug that you are talking in 1:11:11 ? I cannot find any info about it xD

Следующие
Автовоспроизведение
Mathias "Fall in a well" Karlsson - Bug Bounty Prophet (Ep. 50)2:24:32Mathias "Fall in a well" Karlsson - Bug Bounty Prophet (Ep. 50)
Mathias "Fall in a well" Karlsson - Bug Bounty Prophet (Ep. 50)Critical Thinking - Bug Bounty Podcast
Просмотров 2,7 тыс.
500k/yr as Full-Time Bug Hunter & Content Creator - Nahamsec (Ep. 53)1:40:48500k/yr as Full-Time Bug Hunter & Content Creator - Nahamsec (Ep. 53)
500k/yr as Full-Time Bug Hunter & Content Creator - Nahamsec (Ep. 53)Critical Thinking - Bug Bounty Podcast
Просмотров 10 тыс.
Write Laravel, not PHP (feat. Aaron Francis) | 02958:45Write Laravel, not PHP (feat. Aaron Francis) | 029
Write Laravel, not PHP (feat. Aaron Francis) | 029Backend Banter
Просмотров 14 тыс.
Gunna - one of wun [Official Video]03:50Gunna - one of wun [Official Video]
Gunna - one of wun [Official Video]Gunna
Просмотров 820 тыс.
I TESTED SCIENCE in LEGO09:08I TESTED SCIENCE in LEGO
I TESTED SCIENCE in LEGOMr. Bricks
Просмотров 516 тыс.
They Repossessed the Equipment! And I'm Happy about it32:13They Repossessed the Equipment! And I'm Happy about it
They Repossessed the Equipment! And I'm Happy about itOutdoors With The Morgans
Просмотров 240 тыс.
Jordan Adetunji - KEHLANI REMIX (feat. Kehlani) [Official Video]03:32Jordan Adetunji - KEHLANI REMIX (feat. Kehlani) [Official Video]
Jordan Adetunji - KEHLANI REMIX (feat. Kehlani) [Official Video]Jordan Adetunji
Просмотров 1,4 млн
The moment we stopped understanding AI [AlexNet]17:38The moment we stopped understanding AI [AlexNet]
The moment we stopped understanding AI [AlexNet]Welch Labs
Просмотров 852 тыс.
Speak about Unveiling the Secrets Bug Bounty Findings Revealed - Ft. Vrushabh Doshi52:56Speak about Unveiling the Secrets Bug Bounty Findings Revealed - Ft. Vrushabh Doshi
Speak about Unveiling the Secrets Bug Bounty Findings Revealed - Ft. Vrushabh DoshiSecurityBoat
Просмотров 1,4 тыс.
Part-Time Bug Bounty (Ep. 82)36:32Part-Time Bug Bounty (Ep. 82)
Part-Time Bug Bounty (Ep. 82)Critical Thinking - Bug Bounty Podcast
Просмотров 1,4 тыс.
TypeScript Origins: The Documentary1:21:36TypeScript Origins: The Documentary
TypeScript Origins: The DocumentaryOfferZen Origins
Просмотров 281 тыс.
Starting a Career in Coding // Beyond Coding Podcast #31 - Patrick Akil with Johan Janssen42:17Starting a Career in Coding // Beyond Coding Podcast #31 - Patrick Akil with Johan Janssen
Starting a Career in Coding // Beyond Coding Podcast #31 - Patrick Akil with Johan JanssenBeyond Coding
Просмотров 47 тыс.
CS Programs Should NOT Teach Git feat. ThePrimeagen | Backend Banter 05459:42CS Programs Should NOT Teach Git feat. ThePrimeagen | Backend Banter 054
CS Programs Should NOT Teach Git feat. ThePrimeagen | Backend Banter 054Backend Banter
Просмотров 69 тыс.
How to learn programming | Charles Isbell and Michael Littman and Lex Fridman11:47How to learn programming | Charles Isbell and Michael Littman and Lex Fridman
How to learn programming | Charles Isbell and Michael Littman and Lex FridmanLex Clips
Просмотров 990 тыс.
Crushing Client-Side on Any Scope with MatanBer (Ep. 81)2:04:49Crushing Client-Side on Any Scope with MatanBer (Ep. 81)
Crushing Client-Side on Any Scope with MatanBer (Ep. 81)Critical Thinking - Bug Bounty Podcast
Просмотров 3,2 тыс.
Pwn2Own VS H1 Live Hacking Event (feat SinSinology) (Ep. 80)2:49:27Pwn2Own VS H1 Live Hacking Event (feat SinSinology) (Ep. 80)
Pwn2Own VS H1 Live Hacking Event (feat SinSinology) (Ep. 80)Critical Thinking - Bug Bounty Podcast
Просмотров 2,9 тыс.
Вот почему не стоит покупать телевизор! Артикул WB: 24300272800:27Вот почему не стоит покупать телевизор! Артикул WB: 243002728
Вот почему не стоит покупать телевизор! Артикул WB: 243002728Семейка Мамедовых
Просмотров 118 тыс.
Проверил, как вам?00:58Проверил, как вам?
Проверил, как вам?Коннор
Просмотров 345 тыс.
Сделал из обычного телевизора телевизор с выходом в интернет!00:55Сделал из обычного телевизора телевизор с выходом в интернет!
Сделал из обычного телевизора телевизор с выходом в интернет!Андрей Лунёв
Просмотров 136 тыс.
Xiaomi SU-7 Max 2024 - Самый быстрый мобильник32:11Xiaomi SU-7 Max 2024 - Самый быстрый мобильник
Xiaomi SU-7 Max 2024 - Самый быстрый мобильникКлубный сервис
Просмотров 549 тыс.
ПОЛУЧАЮ IPhone за 1 РУБЛЬ!? ЧТО ЭТО НА САМОМ ДЕЛЕ? ПРОВЕРКА РЕКЛАМЫ13:42ПОЛУЧАЮ IPhone за 1 РУБЛЬ!? ЧТО ЭТО НА САМОМ ДЕЛЕ? ПРОВЕРКА РЕКЛАМЫ
ПОЛУЧАЮ IPhone за 1 РУБЛЬ!? ЧТО ЭТО НА САМОМ ДЕЛЕ? ПРОВЕРКА РЕКЛАМЫEVG
Просмотров 150 тыс.
НОВЫЙ ASUS ROG ALLY X. Самый первый и честный обзор.15:09НОВЫЙ ASUS ROG ALLY X. Самый первый и честный обзор.
НОВЫЙ ASUS ROG ALLY X. Самый первый и честный обзор.Игорь Линк
Просмотров 221 тыс.
Ускоряем Youtube за 10 секунд | Полная инструкция04:42Ускоряем Youtube за 10 секунд | Полная инструкция
Ускоряем Youtube за 10 секунд | Полная инструкцияАлександр ЛОБАНОВ
Просмотров 792 тыс.
КРУТОЙ ОРГАНАЙЗЕР С БЕСПРОВОДНОЙ ЗАРЯДКОЙ ДЛЯ ТВОЕГО АВТО | РАСПАКОВКА с WB00:56КРУТОЙ ОРГАНАЙЗЕР С БЕСПРОВОДНОЙ ЗАРЯДКОЙ ДЛЯ ТВОЕГО АВТО | РАСПАКОВКА с WB
КРУТОЙ ОРГАНАЙЗЕР С БЕСПРОВОДНОЙ ЗАРЯДКОЙ ДЛЯ ТВОЕГО АВТО | РАСПАКОВКА с WBДядя Серёжа
Просмотров 620 тыс.