• XSS.stack #1 – первый литературный журнал от юзеров форума

APP_DEBUG помощь

Отслеживать
Сортировать по дате Сортировать по голосам
darkforumseller сказал(а):
Возможна ли дальнейшая эксплуатация веб-приложения?
о, ларавел, тоже интересна тема, много таких сайтов находил где в ларавеле дебаг не выключен.
 
За 0 Против
grozdniyandy сказал(а):
Не понимаю в чем фишка дебага и эксплоитинга. Дебаг выдаст вам информацию o файлах (их контент) который в основном сосотоит из библиотек. Эрроры которые вы видите в целом в ПХП это из-за дебага. Дебаг это подсказка, а не уязвимость среднеге или высокого уровня (то что он показывает некоторые файлы, в зависимости от того что это за файлы, можно считать уязвимостью)

Вот у тебя там в скрине публик/индекс.пхп - можно чекнуть что за код там. Тоесть тебе придётся сделать анализ кода и копать.
прекрасный ответ.

именно так и "ломают неизвестное" и 0-day находят: вылезает ошибка с дебаг инфой, это может быть как "просто ошибка" ничего с которой не сделать полезного (проэксплуатировать), а может быть что-то стоящее.
и лично я не знаю никакого другого способа как лопатить код, или как вариант себе на VM в том же конфиге водрузить и дебажить локально (как те пацаны из книги Кевина Митника которые купили себе игровой автомат и ковыряли его на предмет уязвимостей, а уже потом когда нашли - пошли в казино с этим "играть" на таких же - они точно знали уже где там чего "не так") , ну то есть нет "волшебной таблетки" увы как 0-day находить (фаззинг не волшебная таблетка - могут годы уйти на него, ну а может 5 минут, зависит от "умности" фаззинга чего в него зарядишь ты сам)

лично мне помогает очень то, что я разработчик, и даже если я НЕ знаю язык и платформу ("знаю" - это значит "могу свободно писать без словаря мануалов", да, вот такой вот у меня "синдром самозванца" и высокие требования к себе, так что я разработчик но языки почти "не знаю", как и многие разработчики которые говорят что "знаю" а по факту то же самое), то уж прочитать и отдебажить можно абсолютно любой код даже "на китайском" :-D
 
Последнее редактирование:
За 0 Против
grozdniyandy сказал(а):
Не понимаю в чем фишка дебага и эксплоитинга. Дебаг выдаст вам информацию o файлах (их контент) который в основном сосотоит из библиотек. Эрроры которые вы видите в целом в ПХП это из-за дебага. Дебаг это подсказка, а не уязвимость среднеге или высокого уровня (то что он показывает некоторые файлы, в зависимости от того что это за файлы, можно считать уязвимостью)

Вот у тебя там в скрине публик/индекс.пхп - можно чекнуть что за код там. Тоесть тебе придётся сделать анализ кода и копать.
phpinfo с ключами часто мелькает в дебаге , ну и уязвимые версии дебагеров тоже есть . Дебагер просто расширяет поверхность атаки
 
За 0 Против
admin


Напишите ответ...
  • Вставить:
Прикрепить файлы
Верх