Год назад, 21 марта 2019, в баг баунти программу Mail.Ru на HackerOne пришел очень хороший багрепорт от maxarr. При внедрении нулевого байта (ASCII 0) в POST-параметр одного из API-запросов веб-почты, который возвращал HTTP-редирект, в данных редиректа виднелись куски неинициализированной памяти, в которых чаще всего раскрывались фрагменты из GET-параметров и заголовков других запросов к тому же серверу.
Читать дальше →
source https://habr.com/ru/post/493920/?utm_campaign=493920&utm_source=habrahabr&utm_medium=rss
via Blogger http://vladislav-karelin.blogspot.com/2020/03/blog-post_35.html #181ap
from WordPress https://vladislavkarelin.wordpress.com/2020/03/27/%d0%be%d0%b1-%d0%be%d0%b4%d0%bd%d0%be%d0%b9-%d1%83%d1%8f%d0%b7%d0%b2%d0%b8%d0%bc%d0%be%d1%81%d1%82%d0%b8-%d0%b2/
https://habrastorage.org/webt/du/k3/h5/duk3h5leha8sz3qinzb3g_8yfsk.jpeg
Комментариев нет:
Отправить комментарий