Коллеги из Securitm делятся опытом проведения Bug Bounty: https://habr.com/ru/companies/securitm/articles/951040/
Хабр
Bug hunting, как новая этика ИБ: философия открытых дверей
В информационной безопасности есть множество инструментов контроля качества: внутренние тесты, внешние аудиты, пентесты. Но у всех этих методов есть общее ограничение — они...
👍7
DOM Clobbering — тип атаки, в которой используется взаимодействие между JavaScript и DOM.
Цель — запутать клиентский JS-код, вставляя в веб-страницы фрагмент HTML-разметки, не содержащей скриптов, и преобразуя его в исполняемый код с помощью named property accesses.
Проблема возникает из-за коллизии имён между JS-переменными и HTML-элементами с атрибутами
id или name. Браузеры автоматически создают свойства объектов window и document на основе этих атрибутов:var s = document.createElement('noscript');
let config = window.globalConfig || {href: 'noscript.js'};
s.src = config.href;
document.body.appendChild(s);Ты можешь внедрить HTML-разметку:
<a id="globalConfig" href="malicious.js">, и браузер заменит переменную window.globalConfig на этот элемент. В результате вместо безопасного скрипта загрузится вредоносный. Бинго🥷🏿 DOMC Payload Generator — инструмент, который поможет найти ещё больше пэйлоадов для эксплуатации DOM Clobbering атак.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Forwarded from Pentest Notes
Подготовил для вас подробное руководство по тестированию на проникновение Outlook Web Access (OWA). 😈
➡️ В статье я разобрал все основные атаки и уязвимости OWA. Собрал и структурировал самое полезное в одном месте.
➡️ Также материал идеально подойдет для тех, кто все еще путает между собой OWA, Outlook и MS Exchange :)
Даже если вы раньше не сталкивались с почтовыми сервисами Microsoft, после прочтения смело можете бежать проверять их на безопасность.🥤
Ссылка на статью
💫 @pentestnotes | #pentest #OWA #Exchange
Даже если вы раньше не сталкивались с почтовыми сервисами Microsoft, после прочтения смело можете бежать проверять их на безопасность.
Ссылка на статью
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
This media is not supported in your browser
VIEW IN TELEGRAM
С DomLogger++ отслеживать взаимодействия с DOM при тестировании DOM XSS еще никогда не было так просто! Под капотом:
class, function, attribute, event)hookFunctionБраузерное расширение регистрирует изменения в DOM в режиме реального времени, помогая точно определить уязвимые элементы и выявить интересное поведение.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Один для десктопов, другой — для мобильных устройств. После этого проанализируй изменения в ответах
Некоторые приложения имеют несколько версий для разных платформ — они часто содержат разные фичи, эндпоинты или даже механизмы аутентификации.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍14
This media is not supported in your browser
VIEW IN TELEGRAM
Frogy 2.0 — автоматизированный набор инструментов для внешней разведки и управления поверхностью атаки.
Он строит «карту» целевой организации: активы, IP, веб-приложения и метаданные. Затем всё приоритизируется — от «самого вкусного» для багхантера до наименее интересного.
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍9
IDOR — один из самых распространенных и простых багов. Но знаешь ли ты все фазы тестирования, после которых с уверенностью можно сказать «Здесь нет IDOR»?
Разобрали первую фазу, а остальные — в чек-листе
POST/PUT/DELETE).Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11
Forwarded from Заметки Слонсера (Slonser)
На неделе спросили раза 4 почему я юзаю Caido, а не Burp Suite
Выкатил ответ маленькой статьей на habr
https://habr.com/ru/articles/967644/
Выкатил ответ маленькой статьей на habr
https://habr.com/ru/articles/967644/
Хабр
Хватит страдать в токсичных отношениях с Burp Suite. Пора быть счастливым с Caido
Предисловие Данная статья посвящена прокси Caido. В русскоязычном пространстве довольно мало материалов, которые посвящены Caido, а в последнее время меня часто спрашивали, почему я использую Caido, а...
👍6👎3
Forwarded from AGI Security
BruteForceAI - AI-Powered Login Brute Force Tool
BruteForceAI — это передовой инструмент для тестирования на проникновение, который радикально меняет традиционные атаки методом подбора паролей, интегрируя большие языковые модели (LLM) для интеллектуального анализа форм. Инструмент автоматически определяет формы входа с помощью ИИ, а затем выполняет сложные многопоточные атаки с использованием моделей поведения, имитирующих человеческое.
BruteForceAI — это передовой инструмент для тестирования на проникновение, который радикально меняет традиционные атаки методом подбора паролей, интегрируя большие языковые модели (LLM) для интеллектуального анализа форм. Инструмент автоматически определяет формы входа с помощью ИИ, а затем выполняет сложные многопоточные атаки с использованием моделей поведения, имитирующих человеческое.
👍3
Forwarded from Заметки Слонсера (Slonser)
Осознал что не все подписаны на меня в соц сети Илона Маска, поэтому возможно буду дублировать сюда некоторые посты
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
Как PostgreSQL это парсит:
1. $$0$$ - dollar-quoted строка, автоматически каститься в integer
2. OR - логический оператор
3. -0-$$0$$ - арифметическое выражение
4. NOTNULL - проверка на null (вернет true)
Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +).
Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
На выходных нашел SQLi в PostgreSQL приложении. Обычно я не пишу про такие находки, но этот случай показался достаточно интересным.
Инъекция была path-based (/api/v2/.../INJECTION_POINT/...), и путь не url декодился. Пробелы, слеши, кавычки и скобки приводили к 400 Bad Request.
Придумал обход используя dollar-quoting синтаксис PostgreSQL:
$$0$$OR-0-$$0$$NOTNULL
Как PostgreSQL это парсит:
1. $$0$$ - dollar-quoted строка, автоматически каститься в integer
2. OR - логический оператор
3. -0-$$0$$ - арифметическое выражение
4. NOTNULL - проверка на null (вернет true)
Для этого payload нужны всего два не alphanumeric символа: $ и - (минус можно заменить на +).
Может быть полезно для обхода WAF (например, Cloudflare это не блокирует) или при похожих ограничениях на символы.
👍2