web pentest

  1. Vander

    Article [14.1] Burp Suite. Как построить CSRF - атаку

    Приветствую уважаемую аудиторию, форума Protey. Продолжим рассматривать CSRF уязвимости как в теории, так и на практических примерах. Создание HTML, необходимого для эксплойта CSRF, вручную может быть обременительным, особенно если желаемый запрос содержит большое количество параметров или в...
  2. Vander

    Article [14.0] Burp Suite. Cross-site request forgery (CSRF)

    Подделка межсайтовых запросов (CSRF). В этом разделе мы объясним, что такое подделка межсайтовых запросов, опишем некоторые примеры распространенных уязвимостей CSRF и объясним, как предотвратить атаки CSRF. Что такое CSRF? Подделка межсайтовых запросов (также известная как CSRF) - это...
  3. Vander

    Article [1] Введение в XXE: Эксфильтрация с удаленным DTD

    Out-of-band Exfiltration DTD (Document type definition) Определение типа документа (DTD) - это набор объявлений разметки, которые определяют тип документа для языка разметки семейства SGML (GML, SGML, XML, HTML). DTD определяет допустимые строительные блоки XML-документа. Он определяет...
  4. Vander

    Article [0] Введение в XXE: XML External Entities

    XML везде XML-документы используются во многих форматах файлов. Вероятно, вы уже редактировали файл конфигурации, написанный в XML. Если вы создали веб-сайт, вы неизбежно отредактируете или увидите HTML. Вы также можете подумать о документах MS Office (.docx), масштабируемой векторной графике...
  5. Vander

    Article API Penetration Testing : Заметки

    Изучите плоскость атаки Перед тем, как начать тестирование, тестировщики на проникновение должны лучше понимать пользователей, роли, ресурсы и ответы каждого API, чтобы найти интересные уязвимости. Определите больше возможностей для атаки Найдите дополнительную поверхность для атаки, найдя...
  6. Vander

    News Hackcloud: Acunetix

    Acunetix Vulnerability Scanner. Это полностью автоматизированный внеполосный сканер уязвимостей с возможностями Black-Box и Gray-Box анализа с единым отображением данных. Может быть развёрнут как в облаке, так и на стороне клиента. Актуальную версию Acunetix, теперь всегда можно получить в...
  7. Vander

    Article [0] Bypassing File Uploads - Обход ограничений

    Приветствую уважаемую аудиторию форума Protey. Сегодня, предлагаю поговорить о методах обхода ограничений загрузки файлов на сервер, в контексте web-приложений. Предположим, у вас есть ограничение, заключающееся в том, что вы можете загружать только в нескольких форматах, таких как: PDF...
  8. MRX

    Article Zeebsploit Framework - Анализ и Эксплуатация уязвимостей

    Дарова Zeebsploit Framework — утилита для анализа и дальнейшей эксплуатации уязвимостей у целевых веб-ресурсов. Данный инструмент обладает неплохим функционалом и прост в использовании. Сегодня мы расскажем, как использовать данную утилиту. Установка и эксплуатация Открываем терминал и...
  9. Vander

    Cheat Sheet Обход Кода состояния - 403 Forbidden

    Приветствую, аудиторию Protey! Как не сложно догадаться из названия статьи, сегодня мы рассмотрим способы обхода возвращаемого нам сервером кода состояния 403, который указывает нам в первую очередь на нашу ошибку: Мы запросили у сервера доступ к ресурсу на просмотр (взаимодействие) которого...
  10. Vander

    Cheat Sheet Как обнаружить Reflected XSS

    В этой статье собраны популярные методы обнаружения XSS при проведении тестирования на проникновение. Совет: при использовании других методов поместите метод 2 в фоновый режим в терминале или на vps. 1. Использование Burp Suite Устанавливаем плагины Reflected Parameters и Sentinel для Burp...
  11. Vander

    Cheat Sheet Reflected XSS Mindmap

  12. Vander

    Cheat Sheet Web Application Penetration Testing Checklist

    Всем привет! :) Для начинающих специалистов в области Web Application Penetration Testing, эта информация может быть крайне полезна. Мы хотим поделиться с вами следующим: Most Comprehensive Web Application Penetration Testing Checklist Web Application Penetration Testing Checklist Workflow...
  13. Vander

    News Hackcloud: Burp Suite Professional

    Приветствую гостей и участников форума! Актуальную версию Burp Suite Professional, теперь всегда можно получить в Hackcloud. Не забывайте читать README.
  14. Vander

    Article [0] Apache: Повышение безопасности Web-сервера

    Приветствую уважаемую аудиторию форума protey.net. В этой статье, мы рассмотрим методы повышения безопасности вашего web-сервера Apache, эта публикация будет вступительной для цикла статей по обеспечению безопасности Apache web-серверов. По умолчанию ваши серверы Apache раскрывают больше...
  15. Vander

    Article CRLF Injection & HTTP Response Splitting

    Всем привет, в этой статье поговорим об очередных атаках на web-приложения под названием CRLF Injection и HTTP Response Splitting. Когда браузер отправляет запрос на веб-сервер, веб-сервер отвечает ответом, содержащим как заголовки ответа HTTP, так и фактическое содержимое веб-сайта, то есть...
  16. Vander

    Article Blind SQL Injection - Методы Автоматизации

    Приветствую уважаемую аудиторию форума protey.net В этой статье мы поговорим о Blind SQL Injections и способах автоматизации их эксплуатации. Что такое SQL-инъекция? Данные, предоставленные клиентом, передаются в приложение без соответствующей проверки (фильтрации) Обработка этих данных как...
  17. Vander

    Article Cross-Site Tracing (XST) - Обзор уязвимости и Методы предотвращения

    Приветствую, сегодня поговорим о Cross-Site Tracing (XST). В январе 2003 года Джеремия Гроссман обнародовал метод обхода ограничения файлов cookie HttpOnly. Он назвал это Cross-Site Tracing (XST), невольно положив начало тенденции прикреплять «cross-site» к как можно большему количеству...
  18. Vander

    Article XPath Injection - Типы и Методы Предотвращения

    Приветствую уважаемую аудиторию форума Protey. В этой статье мы рассмотрим такой тип уязвимостей в web-приложениях, как - XPath Injection. Каждый день мы слышим сообщения о взломе веб-сайтов и обычно думаем, что хакер, который добился успеха, должен быть невероятно умным. Обычно на самом...
  19. Vander

    Article HTML Injection - Типы и Методы Предотвращения

    Приветствую, уважаемую аудиторию форума! В этой статье мы рассмотрим такой тип атаки на web-приложения, как HTML - Injection. Чтобы лучше понять HTML-инъекцию, во-первых, мы должны знать, что такое HTML. HTML - это язык разметки, где все элементы веб-сайта записаны в тегах. В основном он...
  20. Vander

    Soft Dotdotpwn - Directory Traversal Fuzzer

    DotDotPwn - Directory Traversal фаззер. Это очень гибкий интеллектуальный фаззер, позволяющий обнаруживать уязвимости Directory Traversal в программном обеспечении, таком как серверы HTTP / FTP / TFTP, веб-платформы, такие как CMS, ERP, блоги и т. Д. Кроме того, он имеет независимый от...
Верх Низ