Mam przyjemność podzielić się z Wami wspaniałą wiadomością – moja prezentacja z zeszłorocznego The Hack Summit została oceniona jako jedna z najlepszych i dlatego została opublikowana na YouTube! 😊 Tematem prezentacji są „Najbardziej przydatne wtyczki do Burp Suite”. Burp Suite to podstawowe narzędzie do testowania penetracyjnego web aplikacji. Jego elastyczność… Continue reading →
Cześć wszystkim! Chciałbym podzielić się z wami moim najnowszym projektem, który może być niezwykle pomocny dla profesjonalistów, hobbystów, czy nawet dla osób spoza branży 3D. Stworzyłem prostą, ale przydatną stronę internetową: 3D Search Online, która znacznie usprawnia proces wyszukiwania konkretnych modeli 3D. Problem, który Chciałem Rozwiązać Jako entuzjasta modelowania 3D,… Continue reading →
Burp Suite nie radzi sobie z automatycznym odświeżaniem sesji, jeśli taka sesja jest przechowywana w nagłówku, a nie w plikach cookie. Jest to istotne z uwagi na to, że często tokeny JWT (JSON Web Tokens) mają krótki czas życia, co wynika z konieczności zapewnienia bezpieczeństwa przetwarzanych danych. W efekcie, próba… Continue reading →
Najczęstszym punktem wstrzyknięcia złośliwych treści do aplikacji są wartości parametrów przekazywanych do niej. Aby poznać, jakie parametry używa dana aplikacja, należy przeprowadzić fazę rekonesansu, czyli testować różne funkcjonalności i zauważać, jakie parametry są wtedy przesyłane. Jednakże, jeśli nie ma się dostępu do pełnej dokumentacji technicznej lub kodu źródłowego, a funkcjonalności… Continue reading →
Chociaż nie jestem fanem przeglądarki wbudowanej w Burp Suite to ma ona chociaż jedną zaletę, dla której warto z niej czasami skorzystać. Jest nim wprowadzone w zeszłym roku rozszerzenie – „DOM Invader”. Służy ono do szybkiego i prostego wyszukiwania podatności typu DOM XSS. To, co w nim jest przełomowe, to… Continue reading →
Czy wiesz, że będąc wystarczająco szybkim, możesz wykorzystać lukę, której przy zachowaniu „standardowej” prędkości wysyłania żądań http do serwera nie udałoby się zidentyfikować? Czasami przy szukaniu błędów bezpieczeństwa trzeba zmierzyć się w wyścigu z kodem programisty i serwerem. Race Condition jest typem błędu wynikającym między innymi ze starego podejścia do… Continue reading →
Wystarczy jedna literówka i payload, który miał zadziałać, nie zadziała. Dobrze jeżeli zostanie to zauważone i poprawione. Nierzadko jednak pewnie w ten sposób dochodzi do sytuacji gdy jakaś podatność nie została wykryta. Kilka dni temu mój kolega Dawid podesłał mi wtyczkę do Burpa, która pomaga przeciwdziałać tego typu wpadkom. HopLa… Continue reading →
Spoglądając na request poniżej może wydawać się, że jest on mało interesujący (pod kątem możliwych przy jego pomocy przeprowadzenia scenariuszy ataków). W rzeczywistości jest zupełnie odwrotnie. Jest to request zawierający security assertion markup language. Inaczej mówiąc jest to – ustandyryzowany xml, podpisany i ubrany w base64. Otwierając taki request przy… Continue reading →
BurpSuite mimo bycia najlepszym narzędziem do testów penetracyjnych web aplikacji, z jakim dane mi było pracować, posiada nadal obszary, do rozwoju. Niedawno został on uzupełniony w moduł „Logger”, który de facto działa tak samo co wtyczka „Flow” z której korzystam na codzie. Mianowicie archiwizuje cały ruch przechodzący przez proxy Burpa…. Continue reading →
Sytuacja wygląda następująco — FFUF znalazł kilkadziesiąt/kilkaset „ukrytych” zasobów. Możesz ręcznie kopiować adresy do przeglądarki, żeby sprawdzić każdy z nich pod kątem ciekawych wyników albo nieco zautomatyzować cały proces. Polecam to drugie podejście i podsyłam gotowy skrypt, który część pracy wykona za nas. Pierwszym krokiem do stworzenia użytecznego jedno liniowca… Continue reading →
Cześć podróżniku!
Jestem Michał. Cyberbezpieczeństwo jest moją pasją i pracą. Hobbystycznie zajmuję się drukiem 3d. W ramach tej strony staram się dzielić się wiedzą właśnie z tych obszarów. Mam nadzieję, że znajdziesz tutaj przydatne dla siebie informacje :)
Więcej o mnie...
Subskrypcja
Wspieraj tę stronę
Jeżeli podoba Ci się moja twórczość możesz mnie wesprzeć kawą :)
