Подделка HTTP-заголовка может выстрелить в самой разной форме — от SSRF и DoS до open redirect, XSS и других багов, связанных с контролем доступа.
X-Forwarded-For, X-Forwarded-Host, X-Forwarded-ProtoX-Real-IP, ForwardedX-Forwarded-Server, X-Real-IP, Max-ForwardsX-Envoy-External-Address, X-Envoy-Internal, X-Envoy-Original-Dst-HostАвтоматизируем одной командой:
ffuf -w headers.txt:HEADER -w payloads.txt:PAYLOAD \
-H "HEADER: PAYLOAD" \
-u https://target.com/admin \
-mc 200,301,302
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍7
This media is not supported in your browser
VIEW IN TELEGRAM
Кейсов использования этой фичи много, поэтому в «нужный момент» просто нажми F12.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
This media is not supported in your browser
VIEW IN TELEGRAM
Большинство WAF имеют ограничения на объем данных, обрабатываемых в теле запроса. Для HTTP-запросов с телом (POST, PUT, PATCH и т.д.) обычно можно обойти WAF, просто добавив в начало запроса мусорные данные.
🥷 Как это работает:
В прошлом году команда Assetnote представила nowafpls — простое расширение Burp (Caido тоже поддерживает) для обхода WAF путем вставки мусорных данных в репитере.
От тебя требуется добавить в Burp
nowafpls.py, выбрав тип расширения Python. Дальше — дело техники — выбрать объем вставляемых данных или добавить произвольное количество с помощью опции Custom.Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Коллеги из Securitm делятся опытом проведения Bug Bounty: https://habr.com/ru/companies/securitm/articles/951040/
Хабр
Bug hunting, как новая этика ИБ: философия открытых дверей
В информационной безопасности есть множество инструментов контроля качества: внутренние тесты, внешние аудиты, пентесты. Но у всех этих методов есть общее ограничение — они...
👍7
DOM Clobbering — тип атаки, в которой используется взаимодействие между JavaScript и DOM.
Цель — запутать клиентский JS-код, вставляя в веб-страницы фрагмент HTML-разметки, не содержащей скриптов, и преобразуя его в исполняемый код с помощью named property accesses.
Проблема возникает из-за коллизии имён между JS-переменными и HTML-элементами с атрибутами
id или name. Браузеры автоматически создают свойства объектов window и document на основе этих атрибутов:var s = document.createElement('noscript');
let config = window.globalConfig || {href: 'noscript.js'};
s.src = config.href;
document.body.appendChild(s);Ты можешь внедрить HTML-разметку:
<a id="globalConfig" href="malicious.js">, и браузер заменит переменную window.globalConfig на этот элемент. В результате вместо безопасного скрипта загрузится вредоносный. Бинго🥷🏿 DOMC Payload Generator — инструмент, который поможет найти ещё больше пэйлоадов для эксплуатации DOM Clobbering атак.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Forwarded from Pentest Notes
Подготовил для вас подробное руководство по тестированию на проникновение Outlook Web Access (OWA). 😈
➡️ В статье я разобрал все основные атаки и уязвимости OWA. Собрал и структурировал самое полезное в одном месте.
➡️ Также материал идеально подойдет для тех, кто все еще путает между собой OWA, Outlook и MS Exchange :)
Даже если вы раньше не сталкивались с почтовыми сервисами Microsoft, после прочтения смело можете бежать проверять их на безопасность.🥤
Ссылка на статью
💫 @pentestnotes | #pentest #OWA #Exchange
Даже если вы раньше не сталкивались с почтовыми сервисами Microsoft, после прочтения смело можете бежать проверять их на безопасность.
Ссылка на статью
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
This media is not supported in your browser
VIEW IN TELEGRAM
С DomLogger++ отслеживать взаимодействия с DOM при тестировании DOM XSS еще никогда не было так просто! Под капотом:
class, function, attribute, event)hookFunctionБраузерное расширение регистрирует изменения в DOM в режиме реального времени, помогая точно определить уязвимые элементы и выявить интересное поведение.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Один для десктопов, другой — для мобильных устройств. После этого проанализируй изменения в ответах
Некоторые приложения имеют несколько версий для разных платформ — они часто содержат разные фичи, эндпоинты или даже механизмы аутентификации.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14
This media is not supported in your browser
VIEW IN TELEGRAM
Frogy 2.0 — автоматизированный набор инструментов для внешней разведки и управления поверхностью атаки.
Он строит «карту» целевой организации: активы, IP, веб-приложения и метаданные. Затем всё приоритизируется — от «самого вкусного» для багхантера до наименее интересного.
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍9
IDOR — один из самых распространенных и простых багов. Но знаешь ли ты все фазы тестирования, после которых с уверенностью можно сказать «Здесь нет IDOR»?
Разобрали первую фазу, а остальные — в чек-листе
POST/PUT/DELETE).Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11