А можешь прокоментировать 14-ый слайд (http://www.slideshare.net/devteev/itkzn13-pentest/14)?
Я про OS Commanding для Java. Какой конкретно вид имеется в виду?
Просто хорошо известно, что в Java можно заинжектить только доп. аргументы, и это приводит к печальным последствиям только если изначально вызывается не целевая программа, а интерпретатор. Именно такое встречается в каждом 4 приложении на Java?
Почему я спрашиваю - это совершенно не пересекается с тем, что видим мы. Java по нашему опыту ultra safe в части OS Commanding.
Второй возможный вариант - что в той графе не OS Commanding, а RCE как последствия от разных типов недостатков.
А можешь прокоментировать 14-ый слайд (http://www.slideshare.net/devteev/itkzn13-pentest/14)?
ОтветитьУдалитьЯ про OS Commanding для Java. Какой конкретно вид имеется в виду?
Просто хорошо известно, что в Java можно заинжектить только доп. аргументы, и это приводит к печальным последствиям только если изначально вызывается не целевая программа, а интерпретатор. Именно такое встречается в каждом 4 приложении на Java?
Почему я спрашиваю - это совершенно не пересекается с тем, что видим мы. Java по нашему опыту ultra safe в части OS Commanding.
Второй возможный вариант - что в той графе не OS Commanding, а RCE как последствия от разных типов недостатков.
Что же там имеловсь в виду?
Jboss, SAP/R3, ManageEngine
ОтветитьУдалить