PHDAYS 2017 | Зато удобно! Утечки из-за ботов в telegram
•Download as PPTX, PDF•
0 likes•423 views
Утечки из-за ботов в telegram
PHDAYS 2017 | Зато удобно! Утечки из-за ботов в telegram
- 1. Зато удобно! Боты в telegram или самый предсказуемый доклад, потому что итак все понятно
- 2. ТЕ
- 3. ТЕ-ЛЕ
- 9. Альтернативное решение /say $(cat /flag)
- 12. Почему работа с API телеги- боль Попытайтесь загуглить, для примера, описание метода “включения” бота
- 17. Telethon рулит
- 18. Боль
- 19. Ну еще одна боль
- 21. Чем различаются уязвимости ботов в telegram и уязвимости веб-приложений?
- 22. Чем различаются уязвимости ботов в telegram и уязвимости веб-приложений? НИЧЕМ, ваш К. О.!
- 25. Отсутствие валидации пользовательских данных при парсинге
- 26. Хотя это немного не про то, но ладно
- 32. Часто в telegram-ботах есть интеграция • Teamcity • Redmine • Jira • Системы контроля версий • Jenkins • Nagios • Zabbix • Внутренние сервисы компании
- 33. Управление отпуском Бронирование переговорок Заявки на опоздания Оповещения о регистрациях Выполнение каких-то неведомых команд на каких-то неведомых бэкэндах
- 34. Внедрения запросов в СУБД А почему нет? Sqlmap2telegram Пруфов не будет
- 35. Выполнение произвольного кода А почему бы и да? Бот работает с медиафайлами – значит использует сторонние библиотеки. Где там эксплойты на ffmpeg или imagemagic?)
- 36. PHDays 2016
- 37. PHDays 2016
- 38. 0day 1day 2day 3day 4day 5day 6day 7day 8day 9day
- 39. Ну и не обязательно искать уязвимости в боте Если сообщения можно будет перехватывать
- 41. Вжух
- 43. Ввод-вывод Кодеры – аккуратнее Ибшники – пробуйте поискать ботов компании, которую аудируете
Editor's Notes
- #33: Внутренние инструменты, оповещения