「6日目:RCE – 忘れられたExcelファイルを使って銀行をハッキングした方法」 from infosecwriteups.com

「6日目:RCE – 忘れられたExcelファイルを使って銀行をハッキングした方法」 from infosecwriteups.com security summary

「6日目:RCE – 忘れられたExcelファイルを使って銀行をハッキングした方法」 from infosecwriteups.com

infosecwriteups.com
“Day 6: RCE — How I Hacked a Bank Using a Forgotten Excel File” - infosecwriteups.com

忘れられたExcelファイルを使って銀行をハッキングした方法とは?「Excelにエクスポート」が「Microsoft Wordにエクスポート」に変わっていた。
銀行はこの重要な発見に対して200ドルを支払い、RCEチェーンは内部サーバーへのルートアクセスで実行された。
Xeroでテストしたところ、ユーザーが取引ログをExcelにエクスポートできる古いApache POIライブラリが見つかった。
コーディングは不要で、パーサーはWin32やMS Accessのようなシステム権限キーなしで実行された。

コメント

タイトルとURLをコピーしました