Software & Infrastructure
Help Us Identify UFUs: (Em)Powering Vulnerability Scanners with FUEL
May 31, 2024
10:00 AM – 10:20 AM Add to calendar
10:00 AM – 10:20 AM Add to calendar
ZKM Medientheater
Nowadays, many websites rely on user-generated content, e.g., by allowing users to upload images, videos, documents, or other files. If not handled carefully, Unrestricted File Uploads (UFUs) may appear and become a serious security issue.
Our academic results show that some UFU types still fly under the state-of-the-art vulnerability scanners' radars, leaving websites at risk of severe vulnerabilities, such as Remote Code Execution or Cross-Site Scripting.
Thus, we propose a File Upload Exploitation Lab (FUEL) to (em)power vulnerability scanners to become better at identifying UFUs and invite the community to reFUEL.
If web applications fail to validate or handle user uploaded files properly, security issues such as Cross-Site Scripting or Remote Code Execution may arise. While PHP-based web applications are known to be prone to Unrestricted File Upload (UFU) vulnerabilities, other programming languages and web frameworks might be affected, too.
Academic and non-academic work has covered many types of UFUs vulnerabilities and created vulnerability scanners to identify them.
We have compared four different vulnerability scanners (BurpSuite, ZAP, FUSE and Fuxploider) with our novel File Upload Exploitation Lab (FUEL) to identify potential shortcomings in the detection capabilities. The results show that none of these state-of-the-art scanners manages to identify the UFU vulnerability in all of the 15 FUEL scenarios.
Attendees of this talk will learn about UFUs and some less-known file upload bypasses. Further, we hope to raise the awareness that, similar to humans, no tool is perfect. Last but not least, we will invite the community to extend FUEL with more UFU scenarios to create a more thorough vulnerability scanner evaluation framework.
The academic paper is to be published at DIMVA 2024, but we wanted to give the community a sneak preview :)
Additional information
| Live Stream | https://streaming.media.ccc.de/gpn22/medientheater |
|---|---|
| Type | Vortrag (kurz) |
| Language | English |
More sessions
| 5/30/24 |
Blu-ray Player und Beamer reicht für den Betrieb eines Kinos nicht aus. Zertifizierte Hardware von zertifizierten Herstellern, eingebaut von zertifizierten Technikern und einiger Papierkram sind Pflicht. Ein Einblick hinter die Kulissen eines Kinos mit digitaler Projektor Anlage, wie Verleiher die Filme Ende-zu-Ende Verschlüsselt an Kinos liefern und Filme vor Raubkopierern geschützt werden. Neben einem Überblick über die Projektor Technik wird in dem Vortrag das Dateiformat und die ...
|
| 5/30/24 |
**Für diesen Workshop ist eine [Reservierung](https://join.gulas.ch/entropia/gpn22-workshops/) (ab 26.05., 10:00) notwendig.** In dem Workshop können die Teilnehmenden einen einfachen Compiler in einem Tabellenkalkulationsprogramm erstellen.
|
| 5/30/24 |
An informed opinion and judgement of where we are heading with the cloud.
|
| 5/30/24 |
Spätestens seit dem Brand eines Straßburger Rechenzentrums im März 2021 wissen wir, dass manche Anbieter die Cloud-Migration zu wörtlich nehmen. Der Straßburger Brand war jedoch nicht der einzige Unfall eines Rechenzentrums. In diesem Vortrag zeige ich Bilder und Videos von Rechenzentrums-Bränden, Wasserschäden und Naturkatastrophen. Ich spreche über die Ursachen und Auswirkungen dieser Unfälle, sowie über die Maßnahmen, um eigene Systeme gegen solche zu schützen. Neben schweren ...
|
| 5/31/24 |
**Für diesen Workshop ist eine [Reservierung](https://join.gulas.ch/entropia/gpn22-workshops/) (ab 26.05., 10:00) notwendig.** In dem Workshop können die Teilnehmenden einen einfachen Compiler in einem Tabellenkalkulationsprogramm erstellen.
|
| 5/31/24 |
Aufbauend auf meinem [talk von letztem Jahr][1] werden wir in diesem Talk ein bisschen tiefer in die Kubernetes Materie einsteigen und darüber reden wie man denn jetzt überhaupt mal irgendetwas in sein Kubernetes Cluster rein deployed. Wir werden auch versuchen das ganze halbwegs sinnvoll zu tun ohne alle seine Secrets oder Passwörter im Klartext in Git zu haben, oder die YAML config unnötig zu duplizieren. [1]: ...
|
| 5/31/24 |
Graphite kombiniert Vektor (svg) und pixelbasierte Arbeitsweisen in einer FOSS Grafik-Design Software. Das Node-basierte Bearbeiten erlaubt nicht destruktive Workflows und die prozedurale Generierung von Kunst. In diesem Talk werfen wir ein Blick unter die Haube und ich gebe ein Einblick, warum wir dafür eine eigene Programmiersprache entwickeln und was man damit Cooles anstellen kann. https://graphite.rs/
|
