Показать все, что скрыто: как получить доступ к чувствительным данным, используя особенности библиотек редактирования графических файлов

Стандартов, позволяющих добавлять в медиафайлы дополнительную информацию (комментарии) множество: EXIF (Exchangeable Image File Format), Adobe XMP (eXtensible Metadata Platform), PNG Text chunks. Предполагается, что в качестве записываемой информации будут использоваться данные о правообладателе, дата и время, но так ли это на самом деле? В докладе мы рассмотрим уже известные инструменты извлечения метаданных на примере сайтов, участвующих в программе bugbounty, а также предложим способы автоматизации.
Два года прошло с момента ImageTragick, но разработчики программного обеспечения продолжают доверять процессу конвертации пользовательских изображений. Какие данные может получить злоумышленник, не используя внешние библиотеки? Расскажем, что скрывается за CVE-2018-16323 и как можно проэксплуатировать уязвимость на примере реального веб приложения.

Федоткин Захар (d4d)

Исследователь безопасности программного обеспечения с десятилетним опытом работы с комплексными приложениями. Занимается анализом исходного кода различных приложений. Специалист по информационной безопасности в компании Wrike.

Поделись в соцсетях

Like!