実際の侵入テスト レポートのサンプル

私の研究の一環として、私は ASP.NET を使用して書かれた商用Webアプリケーションの完全な浸透テストを行う機会を得ました。 私の研究の結果は、私はより広い範囲の人々と「シェーディング」形式で共有することを決めたレポートです。 私たちの母国語でこのタイプの材料は、希少な商品です。 実際、私が一般に公開されているものから知っている唯一のものは、sekurakaチームから来ています – SEKURAK
サムはまた、その翻訳に関連する専門的な命名と問題のために、英語でレポートを書くことを強く好みます。

アプリケーションは、異なるアクセス許可を持つ 2 つのロール (クラシック管理者と通常のユーザー) を使用してテストされました。 アプリケーションの脆弱性が検出されました: • サーバーの制御を取る;•任意のユーザーアカウントの制御を取る;•機密性の高いユーザーデータを読み取る;•アプリケーションを使用して
フィッシング攻撃を実行


する。

検出された感受性

転送されたファイルをサーバーに検証しないという脆弱性を利用して得られた古典的なシェルに加えて、私はユーザーのパスワードをリセットするメカニズムに関連するエラーに対して特別な「同情」を持っています。 アプリケーションは、サーバー側でプロセスの後の段階で検証されなかったセキュリティ トークンを生成しました。 これにより、ユーザーのパスワードをリセットし、アカウントを乗っ取る機能が得られました。

以下のレポートリンクでダウンロードする完全なレポート

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

ブックマーク パーマリンク.

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です