Un investigador de seguridad cubre todas las técnicas disponibles para atacar las interfaces web de MS Exchange e introducir una nueva técnica y una nueva herramienta para conectarse a MS Exchange desde Internet y extraer registros arbitrarios de Active Directory, que también se conocen como registros LDAP. Este artículo fue votado en las 10 Topes de piratería web principales de acuerdo con Portswigger Ltd.

Durante una prueba de penetración interna, descubrí una vulnerabilidad de creación de instancias de objetos arbitrarios no autenticados en LAM (Administrador de cuentas LDAP), una aplicación PHP. La creación de instancias de objetos arbitrarios de PHP es una falla en la que un atacante puede crear objetos arbitrarios. Este defecto puede venir en todas las formas y tamaños. En mi caso, el código vulnerable podría haberse reducido a una construcción simple: nuevo $_GET['a']($_GET['b']); Eso es todo.