В
Правда вот нынешнюю актуальность этого не знаю
Size: a a a
2019 July 09
Dq
день добрый, кто нибудь сталкивался с зашитыми в jpg картинки скриптами, насколько актуально тестировать на эту уязвимость?
Зависит от сервиса который тестируется, если сайт имеет чат и картинкаи и деньги то точно надо тестировать и приорити сразу хай
Dq
Пример обмен чем либо в чате есть кнопка оплатить и для пруфоф кидают картинки, жертва кликакт на thumbnail и отсылает деньги
В
Пример обмен чем либо в чате есть кнопка оплатить и для пруфоф кидают картинки, жертва кликакт на thumbnail и отсылает деньги
А разве в таком случае отрабатывает зашитый скрипт?
АВ
день добрый, кто нибудь сталкивался с зашитыми в jpg картинки скриптами, насколько актуально тестировать на эту уязвимость?
Это стенография. Есть интрументы для этого типо binwalk на kali.
Dq
А разве в таком случае отрабатывает зашитый скрипт?
Там достаточно тебя редиректнуть, на рабочий скрипт
В
Там достаточно тебя редиректнуть, на рабочий скрипт
да, но там просто вшита ссылка под изображением или же скрипт который будет автоматом редиректить на фейковый сайт
я сам таким занимался когда ломал сервера л2)
я сам таким занимался когда ломал сервера л2)
Dq
да, но там просто вшита ссылка под изображением или же скрипт который будет автоматом редиректить на фейковый сайт
я сам таким занимался когда ломал сервера л2)
я сам таким занимался когда ломал сервера л2)
Там вшит редирект ищначально
SS
Спасибо всем, за развернутый ответ:)
В
Там вшит редирект ищначально
разве что картинка, это не есть сам жс файл переименованый как картинка )
Dq
разве что картинка, это не есть сам жс файл переименованый как картинка )
Нет
Dq
Ща я до работы доеду попробую найти покажу
В
Ща я до работы доеду попробую найти покажу
а я пока сам попробую поискать
В
уже нашел, вроде это оно, про то что ты писал
https://thehackernews.com/2015/06/Stegosploit-malware.html
https://thehackernews.com/2015/06/Stegosploit-malware.html
АВ
Раз зашла это тема, а как вы доказываете продукт овнеру/руководителю необходимость тратить время на пентест или проверяете, если есть время на не функциональное?
В
Раз зашла это тема, а как вы доказываете продукт овнеру/руководителю необходимость тратить время на пентест или проверяете, если есть время на не функциональное?
я не доказываю я банально проверяю хотя бы всякие иньекции и как они работают\нет
R(
Раз зашла это тема, а как вы доказываете продукт овнеру/руководителю необходимость тратить время на пентест или проверяете, если есть время на не функциональное?
Никак, отдельные секьюрити были
SS
Да регресс, смоук перед релизом это одно и пентест туда не входит. Пентест просто проверяешь, если находишь проблемы, заносишь баг или улучшение и отправляешь выше. С себя ответственность снял.
SS
У нас проверка пентеста входит в список проверок после разработки новых фич, новых полей и тд.
DA
Это стенография. Есть интрументы для этого типо binwalk на kali.
Стеганография, да