О безопасном использовании PHP wrappers

  • Защита веб-приложений

Описание вебинара

Алексей Москвин
Алексей Москвин
Младший специалист группы анализа защищенности веб-приложений

Уязвимости, связанные с PHP wrappers, обсуждаются достаточно давно. Ссылки на них присутствуют в OWASP TOP 10 и WASC TCv2. Однако ряд особенной реализации кодирования данных приводит к тому, что даже приложения, разработанные с учетом требований безопасности, могут содержать уязвимости (включая критические). В докладе рассматриваются алгоритмы кодирования, использование которых позволят пользоваться результатами работы PHP wrappers и передавать приложению данные, не предусмотренные логикой работы.

Такой подход может быть использован для обхода Web Application Firewalls, встроенных в приложение фильтров безопасности и реализации атак, связанных с несанкционированным доступом к файловой системе и выполнением произвольного кода. В ходе доклада будут представлены примеры новых уязвимостей (0-day), обнаруженных с помощью предложенной в исследовании методики.

Скачать презентацию