Форум успешных вебмастеров - GoFuckBiz.com

  Форум успешных вебмастеров - GoFuckBiz.com > Общий раздел > Новости интернета
Дата
USD/RUB58.8530
BTC/USD0.0000
Новости интернета Обсуждение самых разных интернет-новостей.

Закрытая тема
Опции темы Опции просмотра
Старый 27.07.2016, 12:35   #1
Miss Content
Senior Member
 
Аватар для Miss Content
 
Регистрация: 22.07.2013
Сообщений: 333
Бабло: $309300
По умолчанию Уязвимость на Pornhub

Проэксплуатировав уязвимости (в PHP), эксперты получили доступ к пользовательским данным крупнейшего «клубничного» сайта Pornhub. Две уязвимости (use-after-free уязвимости: CVE-2016-5771 и CVE-2016-5773) были обнаружены в PHP Русланом Хабаловым (Стажер Google Sofware), Дарио Вейсером (ИБ-эксперт), исследователем с ником @_cutz. Они нашли и продемонстрировали как работает RCE-уязвимость, обнаружили 0-day баги в PHP. С помощью этих уязвимостей исследователи выполнили код и получили полный доступ к базе данных Pornhub. Был получен доступ к файлу /etc/passwd, возможность произвольного запуска системных вызовов.



Согласно заключению экспертов, уязвимость была найдена в алгоритме коллектора мусора PHP, данные могли удаленно эксплуатироваться в контексте функции unserialize. Сам процесс обнаружения и эксплуатации уязвимостей простым не назовешь, но как результат — полный доступ к пользовательским данным и исходному коду подсайтов Pornhub. Экспертам удалось отслеживать действия пользователей, кроме того, выполнять действия с правами суперпользователя. Они создали вредоносный пейлоуд, использовавший память, освободившуюся после работы garbage collection алгоритма, который запускался после механизма десериализации PHP. Благодаря чему на сервере PornHub удалось выполнить вредоносный код.

Администрация Pornhub вознаградила исследователей за обнаружение такой бреши, им было выплачено $20 тысяч вознаграждения, компания Internet Bug Bounty также выплатила им по $2 тысячи за обнаружение уязвимостей в PHP.

Еще 13 мая этого года Pornhub пообещал заплатить пользователям, которым удастся взломать сайт и сообщить о его уязвимостях, планировалось выплатить от 50 долларов до 25 тысяч, в зависимости от сложности бага. На данный момент разработчики PHP уже устранили обнаруженные проблемы.
__________________
Реальный конверт с реальной Фарма ПП! Skype: cristina.rx2, ICQ:676017111, Jabber:[email protected]
Miss Content вне форума  
Старый 27.07.2016, 12:56   #2
Hector
Статус кво
 
Аватар для Hector
 
Регистрация: 02.05.2008
Адрес: California
Сообщений: 11,256
Бабло: $1447920
Отправить сообщение для Hector с помощью ICQ
По умолчанию

Надо было устранить php как язык программирования)))))
Hector вне форума  
Старый 30.07.2016, 20:19   #3
Nebrila
Ебланнед
 
Регистрация: 03.07.2015
Сообщений: 527
Бабло: $96655
По умолчанию

А делали бы они свой дор как я на статике беды бы не знали
Nebrila вне форума