#passoffice — Public Fediverse posts on home.social

Разбор атаки на PassOffice: мой пропуск в базу данных

Привет, Хабр! На связи @mirez , в этой статье я подробно разберу, как решал задачу по получению бэкапа базы данных на киберучениях Standoff Standalone . Нашей целью была система управления гостями PassOffice, которую используют в бизнес-центрах. Мы пройдем все этапы: от обнаружения уязвимости в debug-режиме Flask до получения полного контроля над сервером. В процессе исследуем обход двухфакторной аутентификации, SQL-инъекцию и подмену библиотек для выполнения произвольного кода. Этот кейс наглядно демонстрирует, как цепь из нескольких уязвимостей приводит к критически опасному инциденту. Материал будет полезен как специалистам по безопасности, так и разработчикам, желающим понять типовые ошибки в защите веб-приложений.

https://habr.com/ru/companies/pt/articles/950718/

#passoffice #ctf #standoff_365 #standoff_bug_bounty #багхантинг #киберполигон #sql #rb #кибератаки #flask