Jak hacknout import dat? (Unsafe deserialization)

Поделиться
HTML-код
  • Опубликовано: 8 сен 2024
  • Dnes budu kouzlit... Proměním JSON v javascript. V javascriptu je JSON interpretovaný jako objekt, takže jako javascript. Takže vlastně vůbec nekouzlím. Aplikace mi umožňuje uploadovat uživatele, kteří jsou v JSON souboru. Pokud místo validního JSONu pošlu soubor s console.log("Ahoj"), funkcionalita sice selže, ale kód se na serveru vykoná! Může za to funkce eval, která se často používá k parsování JSON souborů. Místo té bychom měli použít bezpečnou funkci JSON.parse. V každém případě ale musíte vědět, jak daný formát, který zpracováváte, interpretuje daný programovací jazyk.
    👉 Sledujte nás na ‪@bezpecnykod‬
    👉 Vyvíjejte bezpečné aplikace na bezpecnykod.cz
    👉 Odebírejte newsletter o aplikační bezpečnosti bezpecnykod.cz...
    👉 Sledujte Bezpečný kód na LinkedInu / bezpecnykod
    #bezpecnost #owasp #zranitelnost #zranitelnosti #hacking #pentest #api #deserializace #haxing #bezpecnykod

Комментарии • 2

  • @martintalavasek
    @martintalavasek Месяц назад

    Pardon, ale nikdy jsem nikoho neviděl použít funkci "eval" k parsování JSONu, to je úplně zcestný :)

    • @bezpecnykod
      @bezpecnykod  Месяц назад +1

      To je dobře, že jste to neviděl.

Следующие
Автовоспроизведение
Jak hacknout slabou hash funkci?1:38Jak hacknout slabou hash funkci?
Jak hacknout slabou hash funkci?Bezpečný kód
Просмотров 32
Multi-Tenant: Database Per Tenant or Shared?8:55Multi-Tenant: Database Per Tenant or Shared?
Multi-Tenant: Database Per Tenant or Shared?CodeOpinion
Просмотров 11 тыс.
Java, How Fast Can You Parse 1 Billion Rows of Weather Data? • Roy van Rijn • GOTO 202442:16Java, How Fast Can You Parse 1 Billion Rows of Weather Data? • Roy van Rijn • GOTO 2024
Java, How Fast Can You Parse 1 Billion Rows of Weather Data? • Roy van Rijn • GOTO 2024GOTO Conferences
Просмотров 87 тыс.
OFFICIAL TRAILER: Uzumaki | adult swim01:45OFFICIAL TRAILER: Uzumaki | adult swim
OFFICIAL TRAILER: Uzumaki | adult swimAdult Swim
Просмотров 1,1 млн
Hermitcraft 10: Episode 25 - BACK TO BASE!42:57Hermitcraft 10: Episode 25 - BACK TO BASE!
Hermitcraft 10: Episode 25 - BACK TO BASE!Grian
Просмотров 1,1 млн
Building a SECRET Base in a Safe - I Am Cat VR12:29Building a SECRET Base in a Safe - I Am Cat VR
Building a SECRET Base in a Safe - I Am Cat VRFudgy
Просмотров 718 тыс.
We Went to Extremes to Drink a Cloud16:44We Went to Extremes to Drink a Cloud
We Went to Extremes to Drink a CloudRhett & Link’s Wonderhole
Просмотров 295 тыс.
Postgres just got even faster26:42Postgres just got even faster
Postgres just got even fasterHussein Nasser
Просмотров 12 тыс.
Encrypting Data in the Browser - Exploring Web Crypto APIs by Aakansha Doshi33:32Encrypting Data in the Browser - Exploring Web Crypto APIs by Aakansha Doshi
Encrypting Data in the Browser - Exploring Web Crypto APIs by Aakansha DoshiJSConf
Просмотров 39 тыс.
Jak objednat zboží bez placení?1:55Jak objednat zboží bez placení?
Jak objednat zboží bez placení?Bezpečný kód
Просмотров 526
Using AI Structured Output with NextJS & React18:12Using AI Structured Output with NextJS & React
Using AI Structured Output with NextJS & ReactJack Herrington
Просмотров 6 тыс.
Shell Scripting Tutorial | Shell Scripting Crash Course | Linux Certification Training | Edureka1:14:31Shell Scripting Tutorial | Shell Scripting Crash Course | Linux Certification Training | Edureka
Shell Scripting Tutorial | Shell Scripting Crash Course | Linux Certification Training | Edurekaedureka!
Просмотров 1,1 млн
Bottom-up Architecture: Bridging the Architecture-Code Gap • Oliver Drotbohm • GOTO 202449:15Bottom-up Architecture: Bridging the Architecture-Code Gap • Oliver Drotbohm • GOTO 2024
Bottom-up Architecture: Bridging the Architecture-Code Gap • Oliver Drotbohm • GOTO 2024GOTO Conferences
Просмотров 34 тыс.
Statické soubory v .NETu6:21Statické soubory v .NETu
Statické soubory v .NETuMiroslav Holec
Просмотров 146
Should you use Ruby on Rails in 2024?14:43Should you use Ruby on Rails in 2024?
Should you use Ruby on Rails in 2024?webcrunch
Просмотров 49 тыс.
A Beginner's Guide to Dapper with .NET 🚀 Complete CRUD in a .NET 8 Web API using SQL Server51:58A Beginner's Guide to Dapper with .NET 🚀 Complete CRUD in a .NET 8 Web API using SQL Server
A Beginner's Guide to Dapper with .NET 🚀 Complete CRUD in a .NET 8 Web API using SQL ServerPatrick God
Просмотров 4 тыс.
С ПОДРУГОЙ В СТАРОСТИ В ОТПУСКЕ01:00С ПОДРУГОЙ В СТАРОСТИ В ОТПУСКЕ
С ПОДРУГОЙ В СТАРОСТИ В ОТПУСКЕSIDELNIKOVVV
Просмотров 251 тыс.
Популярные сквиши 🐾😱 #виола #шортс00:32Популярные сквиши 🐾😱 #виола #шортс
Популярные сквиши 🐾😱 #виола #шортсВИОЛА 🐰
Просмотров 506 тыс.
ОХОТА НА БОРОВУЮ ДИЧЬ У ИЗБЫ ГЛУХАРИНОЙ. РАЗВЕДКА БОЛОТНОГО ОЗЕРА.27:16ОХОТА НА БОРОВУЮ ДИЧЬ У ИЗБЫ ГЛУХАРИНОЙ. РАЗВЕДКА БОЛОТНОГО ОЗЕРА.
ОХОТА НА БОРОВУЮ ДИЧЬ У ИЗБЫ ГЛУХАРИНОЙ. РАЗВЕДКА БОЛОТНОГО ОЗЕРА.-ТАЁЖНЫЙ-
Просмотров 488 тыс.
Джарахов про ситуацию с Кукояками #джарахов #кукояки #instasamka #инстасамка00:44Джарахов про ситуацию с Кукояками #джарахов #кукояки #instasamka #инстасамка
Джарахов про ситуацию с Кукояками #джарахов #кукояки #instasamka #инстасамкаДЖАРАХОВ
Просмотров 253 тыс.
Чистка пляжа - нашли интересную игрушку из детства00:47Чистка пляжа - нашли интересную игрушку из детства
Чистка пляжа - нашли интересную игрушку из детстваFD Vasya
Просмотров 43 тыс.
Fake watermelon by Secret Vlog00:16Fake watermelon by Secret Vlog
Fake watermelon by Secret VlogSecret Vlog
Просмотров 9 млн
кого отпустят гулять чееек00:53кого отпустят гулять чееек
кого отпустят гулять чееекОля Кекс
Просмотров 90 тыс.
The Most Elite Chefs Ever!00:35The Most Elite Chefs Ever!
The Most Elite Chefs Ever!Omar Raja - ESPN
Просмотров 3,4 млн