Broken Authentication (Skills Assessment) — HTB Academy
Автор: B0rn2beR00T (специалист по тестированию на проникновение web-приложений)
Приветствую, коллеги!
Форма аутентификации присутствует во многих ПО. Она встречается в web-приложениях, интерфейсах сетевых железок, виртуализации, БД, файловых хранилищах, CRM и многом другом. Пользователь в такой системе предоставляет такую информацию, как пароли, кодовые фразы, PIN-коды или ответы на секретные вопросы, чтобы подтвердить, что он привилегированный.
Частые случаи, когда система аутентификации настроена или написана недобросовестно, что позволяет обходить её за счёт таких ошибок. Обычно эти ошибки — это неправильная конфигурация, ошибка в логике аутентификации или отсутствие санитаризации ввода пользователя. Даже популярные вендоры допускают баги аутентификации, что приводит к её обходу (bypass). Критичность при обходе такой системы может вылиться в неприятные последствия, например: получение прав админа на сайте. Именно поэтому, для тестировщиков важно понимать как следует проверять такую точку входа в систему.
В новой статье мы разберём Skills Assessment в модуле Broken Authentication платформы Hack The Box Academy, где и протестируем уязвимую систему аутентификации.
Читать далееИсточник: Хабрахабр
Похожие новости
- Кастомные вордлисты для самых маленьких
- Думаем графами с IPAHound
- Rookee: Как писать FAQ, который будет процитирован ИИ
- Веб-интегратор “Компот”: Письмо от бывшего 💌 Почему реактивация клиентов не работает
- Защищаем личные номера телефонов на маркетплейсах: соединяем клиента и исполнителя
- Spark_news: Минцифры выделило 40 млрд рублей на развитие видеоплатформы VK
- Теряет ли GitHub доверие индустрии?
- Почему ваша LLM-платформа — следующая цель: аудит безопасности AI-сервиса изнутри
- [Перевод] Пять документов ломают ваш RAG: где реальная уязвимость и что с ней делать
- Простой гайд как на одном и том же сервере иметь и панель 3X-UI за NGINX, и свой сервис