Некоторый контент на сайтах, казалось бы, скрыт — то есть без их адреса мы не можем добраться до них. Часто это какие-то остатки еще со стадии разработки приложения – разработчик должен был удалить их позже, но забыл ̄_(ツ)_/ ̄. С помощью поиска такого контента мы приходим к инструменту DIRB. Он… Continue reading →
XXEinjector — это инструмент, который автоматизирует процесс использования ошибки безопасности, заключающийся в возможности внедрения внешних сущностей в xml-файлы (XML eXternal Entity). Он позволяет, среди прочего, загружать и загружать файлы напрямую и с помощью промежуточного сервера, обдумывать файлы и каталоги или обтекать нефильтрованные порты. Загрузка инструмента с XXEinjector
Вы слышали об утечках данных из бэксетов AWS S3? Такие же утечки можно найти в бэкетах AliYun OSS! Войтек создал первый инструмент проверки безопасности Aliyun OSS, который доступен на его githubie: AliYun
Хотя конструкция Пруссии, несомненно, имеет большое количество преимуществ, в ней будут и недостатки. Одним из них является отсутствие собственного освещения. Как ночной принтер, я решил устранить эту проблему, установив его с помощью светодиодной ленты. Для своего проекта я использовал: печатные ручки, установленные на рамке принтера с помощью печатная панель для… Continue reading →
До недавнего времени я почти ничего не знал о существовании и эксплуатации механических часов. Зараженный страстью брата к этому предмету, я решил изучать знания в этой области. Так я нашел очень содержательный канал о часах Кшиска Гуменюка — TikTalk Это продолжалось быстро. Первый торговый автомат и идея создания ротомата, который,… Continue reading →
В рамках моей диссертации у меня была возможность провести полный тест на проникновение коммерческого веб-приложения, написанного с использованием ASP.NET. Результатом моего исследования является отчет, которым я решил поделиться в «затененной» форме с более широким кругом людей. Материалы такого типа на нашем родном языке являются дефицитным товаром. На самом деле, единственный,… Continue reading →
Опытный пентестер, он знает, что хорошо написанный отчет характеризуется тем, что после его представления у клиента не возникает никаких дополнительных вопросов. Для этого он должен содержать не менее четырех основных разделов с информацией для разных аудиторий. Раздел 1: Общая информация и статистика В то время как программисту для исправления ошибок… Continue reading →
Атаки путем внедрения кода SQL включают вставку или «внедрение» SQL-запросов через клиентский ввод в приложение. Успешная атака такого типа может быть использована для считывания конфиденциальной информации из базы данных и ее изменения или удаления. В самых крайних случаях она позволяет выдавать системные команды. Ниже приведен опасный фрагмент кода, который можно… Continue reading →
XSS — это атака, которая позволяет внедрять и выполнять вредоносные HTML или JavaScript. Это может быть использовано для кражи критически важных данных (например, данных сеанса) из файлов cookie. Поскольку код выполняется в контексте уязвимого приложения, это позволяет выполнять другие атаки, такие как фишинг, вход с клавиатуры или перенаправление пользователя на… Continue reading →
Атака кросс-сайт-запроса (CSRF) использует общепринятую логику веб-браузеров для управления сеансом пользователя на открытых страницах. Стандарт заключается в том, что пользователь может иметь только один активный сеанс в веб-приложении, которое он использует в настоящее время. Любая вновь открытая вкладка в вашем браузере будет автоматически использовать файлы cookie пользователя, уже вошедшего в… Continue reading →
Cześć podróżniku!
Jestem Michał. Cyberbezpieczeństwo jest moją pasją i pracą. Hobbystycznie zajmuję się drukiem 3d. W ramach tej strony staram się dzielić się wiedzą właśnie z tych obszarów. Mam nadzieję, że znajdziesz tutaj przydatne dla siebie informacje :)
Więcej o mnie...
Подписка
Wspieraj tę stronę
Jeżeli podoba Ci się moja twórczość możesz mnie wesprzeć kawą :)
