Сегодня 26 декабря, четверг ГлавнаяНовостиО проектеЛичный кабинетПомощьКонтакты Сделать стартовойКарта сайтаНаписать администрации
Поиск по сайту
 
Ваше мнение
Какой рейтинг вас больше интересует?
 
 
 
 
 
Проголосовало: 7278
Кнопка
BlogRider.ru - Каталог блогов Рунета
получить код
Хабрахабр: PHP / Блог / Захабренные
Хабрахабр: PHP / Блог / Захабренные
Голосов: 1
Адрес блога: http://habrahabr.ru/blog/php/
Добавлен: 2008-06-12 19:52:35 блограйдером ZaiSL
 

Сломайте SafeCurl и получите 0.25 Bitcoin

2014-05-20 20:08:34 (читать в оригинале)


Разработчик с ником fin1te пишет безопасную обертку над curl, которая позволяет защититься от SSRF-атак, и в связи с этим проводит контест: если вы сможете скачать файл btc.txt, который расположен на демо-сервере SafeCurl safecurl.fin1te.net и доступен только с source IP 127.0.0.1 и 37.48.90.196 (внешнего IP сервера), то вы получите доступ к кошельку, в котором находится B⃦0.25.

Уже совершено 3 успешных взлома:
  • @zoczus обошел защиту, зайдя по http://0.0.0.0/btc.txt
  • @47696d6569 и ryanc выполнили DNS rebinding, что позволило им загрузить файл с другого IP адреса, уже после прохождения валидации
  • @shDaniell использовал уязвимость в парсинге URI, скачав файл ссылкой вида http://user:pass@safecurl.fin1te.net?@google.com/
Читать дальше →

Тэги: bitcoin, bugbounty, contest, curl, php, safecurl, безопасность, информационная

 


Самый-самый блог
Блогер ЖЖ все стерпит
ЖЖ все стерпит
по сумме баллов (758) в категории «Истории»
Изменения рейтинга
Категория «IT»
Взлеты Топ 5
+646
670
Remi_Etien_Le_Bo
+628
671
Темы_дня
+606
617
ClericDade
+578
618
OnepaTop
+544
583
wishmaster-moscow
Падения Топ 5


Загрузка...Загрузка...
BlogRider.ru не имеет отношения к публикуемым в записях блогов материалам. Все записи
взяты из открытых общедоступных источников и являются собственностью их авторов.