elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Como proteger una cartera - billetera de Bitcoin


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  PHP Object Injection a ciegas?
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: PHP Object Injection a ciegas?  (Leído 673 veces)
Ethicalsk

Desconectado Desconectado

Mensajes: 113



Ver Perfil
PHP Object Injection a ciegas?
« en: 6 Noviembre 2017, 11:22 »

Buenas! Estuve leyendo sobre los problemas que traia unzerializar datos que provienen del usuario en php, ya que  se podría mandar un objeto serializado con la intención de que se ejecuten automáticamente los métodos mágicos definidos para el objeto creado, y si dentro de los métodos mágicos existe otro tipo de vulnerabilidad como sql injection, code execution, rfi, etc, podrían ser triggereados gracias a éste objeto serializado que se le manda.

Estuve practicando con algunos ejercicios pero siempre con el código fuente a la vista. Ustedes creen que es posible aprovechar éste tipo de vulenrabilidad a ciegas? Es decir, sin tener acceso al código fuente? Según mi conclusión éste tipo de cosas solo se puede explotar bien en CMSs (como Joomla!), ya que el código es accesible, o si ocurren cosas especiales como que haya copias de respaldo en texto plano de las paginas del servidor en cuestion, pero sin el fuente lo imagino imposible, ustedes que piensan?

Saludos


« Última modificación: 6 Noviembre 2017, 11:25 por Ethicalsk » En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines