[NRPPZW] 2. projekt - 2021/2022

Bisolvon

Pitanje za XXE, nije mi skroz jasno kako bi trebali implementirat ovu ranjivost. Koliko shvaćam sve se svodi na loše konfiguriran XML parser koji dopušta vanjske entitete. Ja ne mogu pronaći neki XML parser za node.js koji ima omogućene vanjske entitete. Također, ako se parsiranje XML-a provodi na serveru kako bi server trebao izvesti javascript alert na browseru?

Kennedy

Kako bi trebali rjesiti ovaj csrf, jel trebamo onda napraviti i drugu ranjivu stranicu (imati 2 heroku projekta) pa na nasoj originalnoj prikazivati session ideve koje krademo sa ove druge ili bi bilo ok samo imati gumb koji postavlja cookie i na drugoj stranici (na istom posluzitelju) neki img tag sa srcom koji krade taj session id i negdje ga prikazuje onda? Nije bas objasnjeno kako su to oni zamislili u ovim uputama

boki8

Je li itko implementirao nesigurnu deserijalizaciju? Ne znam sto tocno treba napraviti

Gocc

je li tko uspio parser na serveru napraviti , probala sam koristiti express-xml-bodyparser pa mi javlja greške u sintaksi xml-ova

Exelero

Je napravio ko XSS, kako zaobici chromeovu zaštitu?

LucidDreamer

Odvratan labos, materijala za vecinu ovih stvari nema,a kad ih se pita za pojasnjenje samo mi dodatno bude nejasnije…

laranotreallycroft

Jel bi za Sensitive data exposure bilo ok napraviti neku kao login formu pa je tu kao problem da se šalju i pohranju plaintext podaci? Ili npr da se negdje prikazuju informacije koje korisnik ne bi trebao vidjet kao oib drugih korisnika?

Tonii

laranotreallycroft Ja se isto pitam oko toga, šokantno da je nejasno zadan zadatak za kojeg imamo 3 powerpoint slidea materijala.

Tonii

Jel mi moramo napraviti kao 1 projekt koji će zadovoljavati sva 3 zadatka ili mogu 3 manja da svaki implementira samo 1?

Gocc

itko ikakvu ideju kako postaviti ikakav xml parser

LucidDreamer

*** evo ja sam im poslao poruku vezano za to pa ce valjda napisati nesto pametno

Bisolvon

LucidDreamer
Valjda neces dobit ovako opsiran odgovor.

LucidDreamer

Bisolvon poslao sam im vrlo slicno pitanje tako da me bas zanima kaj ce odgovorit

LucidDreamer

Bisolvon btw kaj im to uopce znaci.. ubaci pa izbrisi ili pusti????

WP_Deva

Pitanje, nama je ovo 2. projekt a trebalo bi ih biti 6?
Jel to istina ili, kad misle još 4?

Tonii

IdeGas 5 projekata ima, ali da bit ce tjesno sad u 2. ciklusu sto se njih tiče

boki8

Sto je uopce serijalizirani objekt? Ako je itko uspjesno implementirano ranjivost Nesigurna deserijalizacija moze li reci barem otprilike sto bi trebalo napraviti? Ni na internetu ne mogu pronaci konkretne primjere kako rekonstruirati tu ranjivost…

reygrep

krenula sam radit labos pa evo da sheram korisne linkove mozda nekome pomogne
sql injection

generator podataka https://generatedata.com/generator
primjer kako to izgleda https://www.hacksplaining.com/exercises/sql-injection

laranotreallycroft

kako da se za xss stored izvodi script u browseru? koristim ejs i ispisuje mi ga samo kao plaintext.

boki8

laranotreallycroft probaj sa <%- tvoja_skripta %>

laranotreallycroft

kerovac hvala ti, do tog je bilo! Prije sam koristila <%= tvoja_skripta %>

« Prethodna stranica Sljedeća stranica »