[Из песочницы] Ломаем сайт банка или от LFI к RCE

Хабы: Информационная безопасность

По просьбе друга, недавно устроившегося на работу в банк, решил проверить сайт kubunibank.ru на наличие брешей в безопасности. В качестве инструмента для аудита выбрал Acunetix Web Scanner. Выбор обоснован тем, что данный сканнер лучше всего подходит для первоначального осмотра. Сайт достаточно не большой, так что спустя 5 минут было найдено 3 ошибки LFI (Local File Inclusion), и мне сразу захотелось получить там шелл.


Читать дальше →

© Habrahabr.ru