Alexander Kolesnikov (analista de vírus em uma empresa internacional) convida você para a aula master “Fundamentos das tecnologias necessárias para compreender vulnerabilidades. Classificação OWASP TOP 10 ” , que decorrerá dentro do curso profissionalizante. Alexander também compartilhou um artigo para caçadores de bug iniciantes, onde ele analisa as 10 principais vulnerabilidades de 2020 que foram encontradas pela plataforma HackerOne.

A ideia é a seguinte - preparar uma bancada de laboratório para estudar as vulnerabilidades deste topo. Você pode ler sobre como iniciar e encontrar um aplicativo de exemplo com uma vulnerabilidade aqui . As tarefas serão resolvidas antes da exploração da vulnerabilidade inerente ao aplicativo, a última etapa será deixada para os leitores.
TOP 10 vulnerabilidades por HackerOne

— OWASP TOP 10. , OWASP TOP 10 2017 . . , :

OWASP , HackerOne . HackerOne :
Injection
Broken Authentication
Sensitive Data Exposure
Security Misconfiguration
, 3 .
Injection
Injection — , . . , python .

, . HTTP BurpSuite Community, :

admin — «Login».

, . , . , . . «source.zip». , , /, .
, :

, - Flask. , 2 - debug release. debug - 5000. , :

, . , . .
, :
.\views\user.py
, . , @login_required
, - . , /admin/system/change_name/
. , :

Lua Redis. , . Redis. python — pickle. .

Security Misconfiguration
, , . Security misconfiguration — , ..

, , file:///etc/passwd
. . :

, , . , . file:///proc/self/cmdline
:

uwsgi- . 8000. - «/usr/src/rwctf». uwsgi, .
Broken Authentication, Sensitive Data Exposure
Broken Authentication - , . Sensitive Data Exposure - , . , ..

, . , . dirbuster, , . uploads, HTTP 403. c . : /uploads../
:

, . . . . .
, -. - .
Disclamer: .
. ? « -», - « ̆, ̆. OWASP TOP 10».