Finding 0day in Apache APISIX During CTF (CVE-2022-24112)

Автор: LiveOverflow

Загружено: 2022-03-07

Просмотров: 88760

Описание: In this video we perform a code audit of Api6 and discover a default configuration that can be escalated to remote code execution.

CVE-2022-24112: https://seclists.org/oss-sec/2022/q1/133
GitLab: https://liveoverflow.com/gitlab-11-4-...
Challenge files: https://github.com/chaitin/Real-World...

Chapters:
00:00 - Intro
01:09 - Initial Application Overview
02:15 - Discussing Approaches
03:56 - Reading Documentation
04:57 - Initial Attack Idea
06:15 - Identifying Attack Surface
08:46 - Discovering Batch Requests
09:18 - Bypassing X-Real-IP Header
10:15 - Testing the Exploit
11:11 - Reporting the Issue
12:16 - Outro

=[ ❤️ Support ]=

→ per Video:   / liveoverflow
→ per Month:    / @liveoverflow

=[ 🐕 Social ]=

→ Twitter:   / liveoverflow
→ Instagram:   / liveoverflow
→ Blog: https://liveoverflow.com/
→ Subreddit:   / liveoverflow
→ Facebook:   / liveoverflow

Не удается загрузить Youtube-плеер. Проверьте блокировку Youtube в вашей сети.
Повторяем попытку...

Finding 0day in Apache APISIX During CTF (CVE-2022-24112)

Доступные форматы для скачивания:

Скачать видео

Информация по загрузке:

Скачать аудио

Похожие видео

Я занимаюсь хакерством уже 10 лет! (Stripe CTF Speedrun)

Я занимаюсь хакерством уже 10 лет! (Stripe CTF Speedrun)

Exploiting Java Tomcat With a Crazy JSP Web Shell - Real World CTF 2022

Exploiting Java Tomcat With a Crazy JSP Web Shell - Real World CTF 2022

Как защитить API: Уязвимости и решения

Как защитить API: Уязвимости и решения

Что такое «песочница безопасности браузера»? (Учимся взламывать Firefox)

Что такое «песочница безопасности браузера»? (Учимся взламывать Firefox)

ЛУЧШИЕ ДИСТРИБУТИВЫ ДЛЯ ЭТИЧНОГО ХАКИНГА | ЧТО ВЫБРАТЬ В 2026? | Kali • Parrot • BlackArch

ЛУЧШИЕ ДИСТРИБУТИВЫ ДЛЯ ЭТИЧНОГО ХАКИНГА | ЧТО ВЫБРАТЬ В 2026? | Kali • Parrot • BlackArch

Nginx — Простым языком на понятном примере

Nginx — Простым языком на понятном примере

FPGA simulated on a GPU - GPURTL Google CTF Finals 2019 (reversing)

FPGA simulated on a GPU - GPURTL Google CTF Finals 2019 (reversing)

Where to start with exploit development

Where to start with exploit development

Дороничев: ИИ — пузырь, который скоро ЛОПНЕТ. Какие перемены ждут мир?

Дороничев: ИИ — пузырь, который скоро ЛОПНЕТ. Какие перемены ждут мир?

Мониторинг и Логи ПРОДАКШЕН уровня — Grafana + Loki + Prometheus + Promtail

Мониторинг и Логи ПРОДАКШЕН уровня — Grafana + Loki + Prometheus + Promtail

Как взломать любой Wi-Fi (почти)

Как взломать любой Wi-Fi (почти)

A Vulnerability to Hack The World - CVE-2023-4863

A Vulnerability to Hack The World - CVE-2023-4863

КАК УСТРОЕН TCP/IP?

КАК УСТРОЕН TCP/IP?

можно ли взломать этот сервис скриншотов? - CSCG 2021

можно ли взломать этот сервис скриншотов? - CSCG 2021

Иран зажег и мир горит все жестче

Иран зажег и мир горит все жестче

OSINT для новичков: найдите всё о юзернейме и фото с Sherlock и Google Dorks!

OSINT для новичков: найдите всё о юзернейме и фото с Sherlock и Google Dorks!

Цепи Маркова — математика предсказаний [Veritasium]

Цепи Маркова — математика предсказаний [Veritasium]

ЕОПТ 055 | СВОЙ СЕРВЕР ЗА 5 МИНУТ

ЕОПТ 055 | СВОЙ СЕРВЕР ЗА 5 МИНУТ

PicoCTF 2022 #01 - WELCOME & Basic File Exploit

PicoCTF 2022 #01 - WELCOME & Basic File Exploit

Чем НА САМОМ ДЕЛЕ питаются корейцы?

Чем НА САМОМ ДЕЛЕ питаются корейцы?