Burp suite: 18 расширений
Burp Suite — это мощный инструмент для тестирования безопасности веб-приложений, и его функциональность можно значительно расширить с помощью плагинов (расширений). Вот топ расширений для Burp Suite, которые полезны для пентестеров и исследователей безопасности: Читать далее...
Атака на некоторые уязвимые веб-приложения Vulnhub. Эксплуатация уязвимостей. Часть 6
Всех приветствую, читатели Хабра! Шестая часть анализа защищенности веб-приложений Vulnhub. Ссылки на первые четыре части, советую ознакомиться (в первой части детально разбираю где скачать образы уязвимых машин, как их поднять на докер, и многое другое): https://habr.com/ru/articles/894508/...
Атака на некоторые уязвимые веб-приложения Vulnhub. Эксплуатация уязвимостей. Часть 4
Всех приветствую, читатели Хабра! Четвертая часть анализа защищенности веб-приложений Vulnhub. Ссылки на первые три части, советую ознакомиться (в первой части детально разбираб где скачать образы уязвимых машин, как их поднять на докер, и много другое): https://habr.com/ru/articles/894508/...
Codeby.Games. CTF TASK «ТЕТРИС»/«TETRIS»
Приветствую всех любителей CTF и этичного хакинга на стороне Red Team! В этой статье мы рассмотрим прохождение легкого таска "ТЕТРИС", разработанного пентестерами из команды Codeby.Games. Справка: codeby.games - отечественный условно бесплатный веб-проект, где каждый может попрактиковаться в...
Атака на некоторые уязвимые веб-приложения Vulnhub. Эксплуатация уязвимостей. Часть 3
Всех приветствую, читатели Хабра! Сегодня третья часть анализа защищенности веб-приложений Vulnhub. Ссылки на первую и на вторую части. Примечание Правовая информация: Данная статья создана исключительно в ознакомительных/образовательных/развивающих целях. Автор статьи не несет ответственности за...
Атака на некоторые уязвимые веб-приложения Vulnhub. Эксплуатация уязвимостей. Часть 2
Всех приветствую, читатели Хабра! Сегодня я снова поделюсь опытом анализа защищенности веб-приложений Vulnhub. Вот ссылка на первую часть. Примечание Правовая информация: Данная статья создана исключительно в ознакомительных/образовательных/развивающих целях. Автор статьи не несет ответственности...
Атака на некоторые уязвимые веб-приложения Vulnhub. Взлом и эксплуатация уязвимостей
Всех приветствую, читатели (и не только читали) Хабра! В моей сегодняшней статье я затрону анализ защищенности веб-приложений и некоторые способы атаки на них. Но для начала уточню пару моментов. Я публикую только те примеры, которые я сам лично пробовал на практике, примеры с которыми не должно...
MITM атаки
Приветствуем дорогих читателей! Мы продолжаем рубрику статей “Без про-v-ода” посвящённую беспроводным технологиям, атакам на них и методами защиты. В этой статье мы рассмотрим различные инструменты для MITM-атак и проверим актуальность некоторых на сегодняшний день, и на основе этой проверки найдём...
Настройка BurpSuite professional на Ubuntu 24
На данном практическом занятии мы рассмотрим процесс установки и начальной настройки BurpSuite Professional на Ubuntu 24 (22). BurpSuite — это мощный и широко используемый инструмент для тестирования безопасности веб-приложений, который помогает специалистам по безопасности проводить аудит и оценку...
Тонкости импортозамещения CMS. Собираем Bug Bounty и БДУ по реестру отечественного ПО
Привет, Хабр! Меня зовут Дмитрий Прохоров, я cпециалист по тестированию на проникновение из команды CyberOK. Исследуя просторы Рунета и собирая фингерпринты для различных CMS, я заметил, что присутствует большое множество различных веб-сайтов на CMS отечественной разработки. И да, это не Битрикс!...
Импортозамещение сканеров web-уязвимостей: обзор актуальных DAST-решений
Привет, Хабр! Поговорим о проблеме выбора DAST, который бы смог удовлетворить потребности регулярного поиска уязвимостей в web-инфраструктуре компании. Опытные пентестеры, специализирующиеся на web-приложениях, наверняка возразят: какой тут может быть выбор? Burp Suite PRO наше все! И будут правы,...
Разбор таска Dirty logs с M*CTF 2022 или как желание пихнуть кавычку помогает решать CTF
Прошел почти год с того момента, как я написал свою первую сатью на Хабр. Начал этот путь именно с разбора задания MCTF 2021. Решил продолжить традицию в этом году и написать writeup на интересный таск с MCTF 2022. Читать далее...
[Перевод - recovery mode ] Как подобрать пароль к аккаунту/странице/сайту
Друзья, всех приветствую! В этой статье мы поговорим о том, как подбирать пароли к учетным записям, сайтам, страницам, аккаунтам с помощью Burp Suite. Аутентификация лежит в основе защиты приложения от несанкционированного доступа. Если злоумышленнику удастся нарушить функцию аутентификации...
Zero Security: A — этичный хакинг для начинающих
Zero Security: A - уникальные курсы этичного хакинга и тестирования на проникновение от компании Pentestit. Разработаны специально для новичков в области информационной безопасности, которые хотят связать свою дальнейшую деятельность с ИТ-технологиями и развиваться в этом направлении в качестве...
Вангуем Session ID с помощью Burp Sequencer
Всякий раз, когда мы входим в приложение, сервер выдает Session ID или token, которые являются уникальными. Но что, если бы мы могли угадать следующий уникальный идентификатор сеанса, который будет сгенерирован сервером? Сегодня попробуем обогнать алгоритм приложения и войти в него, выдавая...