Return Oriented Programming – Praktyczna exploitacja binarek

Zamiast łamać kolejne urządzenie i oferować “rybę”, czytelnik otrzyma “wędkę” aby móc samemu wykorzystywać podatności typu Buffer Overflow. W tym poście przedstawię praktyczne wykorzystanie techniki “Return-oriented programming“, wraz z przykładowym kodem exploita. O co chodzi? Od dobrych paru lat systemy operacyjne wspierają zabezpieczenie zwane Data Execution Prevention (DEP). Podstawowym założeniem tego mechanizmu jest to, że […]

Orange Livebox 2.0 (ZTE) – Niegroźny błąd Buffer Overflow & Information Disclosure

Kilka słów o tym, jak kończy się brak pamięci o walidacji jednego pola po stronie aplikacji internetowej (czyli de facto wykorzystanie tylko walidacji danych po stronie klienta) oraz dlaczego nie warto podłączać dysków USB do routera.   Bohater dzisiejszego wpisu – Orange Livebox 2.0 (producent ZTE). Post dotyczy słabości w wersji oprogramowania o identyfikatorze 2013-02-21_V6.1.27. […]