Remote Sekurak Hacking Party/ 7 kwietnia 2020

Na początek – krótkie wprowadzenie do tematyki API REST, następnie zaprezentuję około 20 realnych przykładów podatności w API RESTowych. Opowiem też w jaki sposób bronić się przed omawianymi podatnościami.

Kilka minut teorii, a następnie czysta praktyka. Zobaczycie że podatność, której według wielu „na pewno nigdzie nie ma”, jednak czasem nieoczekiwania pojawia się w aplikacjach webowych i może prowadzić do tragicznych skutków.

Wykonywanie XSS-ów często kojarzy się z prostym kodem typu <script>alert(1)</script>. W wielu aplikacjach istnieją jednak różnego rodzaju ograniczenia w polach, przez które da się zrobić XSS-a, np. nie można użyć nawiasów okrągłych lub małych liter… W prezentacji pokażę kilka XSS-owych magicznych sztuczek i jak tego typu ograniczenia można omijać.