F

ull Path Disclosure (FPD) – polega na ujawnieniu pełnej ścieżki dostępu (np. /var/www/test.php) do wadliwie skonstruowanego lub źle wywołanego skryptu. Błąd FPD najczęściej wywoływany jest poprzez wstrzykiwanie nieoczekiwanych i niefiltrowanych znaków oraz poleceń do parametrów skryptów na stronie internetowej. Skrypt, który przyjmuje określone parametry po wstrzyknięciu nieoczekiwanego znaku zwraca komunikat błędu, w którym zawarte są informacje na temat napotkanego błędu oraz pełna ścieżka dostępu do wywołanego skryptu.
[ czytaj całość… ]

W

Polsce podejście do błędów typu JavaScript Injection, XSS, Session Fixation, RCSR, itp. jest mniej poważne, niż być powinno. Podczas swoich testów natknąłem się na błędy w wielu serwisach internetowych. Niektóre są większe, inne mniejsze. W pierwszej części tego artykułu chciałbym się skupić na lukach wykrytych w dwóch największych polskich portalach.
[ czytaj całość… ]