Форум информационной безопасности - Codeby.net

Статья [4] Burp Suite: Настройка параметров проекта

  • 10 333
  • 3
Приветствую, Codeby.net! Продолжаем разбираться в Burp Suite, эта статья посвящена настройка проекта, да, не атакам и взломам, а именно настройкам. Нужно пройти эту не очень захватывающую часть, чтобы свободно ориентироваться в инструменте, с которым вам, возможно, придётся часто работать.
Моё мнение, что свой рабочий арсенал, нужно знать досконально, итак, приступим.

В прошлых сериях:

Статья [3] Burp Suite: Установление доверия по HTTPS

  • 9 047
  • 7
Приветствую, Codeby.net! Продолжаем цикл статей посвященных тестированию web-приложений на проникновение с помощью Burp Suite.

В этой части рассмотрим калибровку настроек Burp Suite таким образом, чтобы он как можно «нежнее» относился к целевому приложению во время тестирования. Делается это для того, чтобы вызывать...

Статья [7] Wi-Pi Pineapple - Работа с модулями. Модуль Evil Portal

  • 4 379
  • 7
Всем привет, это ещё одна статья посвященная работе с Wi-Fi Pineapple, в моём случае это Tetra, но надеюсь, и владельцы Nano не останутся ущемлёнными.

Итак, сегодня будем рассматривать, и применять на практике модуль Evil Portal.

Предыдущие части:

Статья [Шпаргалка] Iptables Essentials - Общие правила и команды

  • 8 449
  • 3
Приветствую! Решил поделиться c аудиторией небольшой шпаргалкой по IPTables.

Всё запомнить невозможно, искать в сети долго, а под рукой иметь хочется.

IPTables — утилита командной строки, является стандартным интерфейсом управления работой межсетевого экрана (брандмауэра) netfilter для ядер Linux, начиная с версии 2.4. Для использования утилиты IPTables требуются привилегии суперпользователя (root).

Данная инструкция относится больше к Debian – based дистрибутивам.

Ниже, схематично представлен принцип работы IPTables:

26773


Перейдём непосредственно, к командам:

Посмотреть текущий список правил:

[B]iptables –n –L –v[/B]

26774


Сохранить набор правил:

Код:
iptables-save >...

Статья Как веб-сервера обрабатывают запросы и почему это может привести к уязвимости

  • 2 847
  • 0
Привет,

Хочу рассказать о поведении вебсерверов на не совсем обычные запросы и то, что код иногда обрабатывает их не так, как вы ожидаете на примере куска легаси кода.
Так же затрону очевидные прописные истины аналогичные "Почему вебсервер должен быть первой линией обороны" и "Почему вы должны знать все о вашей конфигурации".

TL;DR; Apache из дефолтной конфигурации принимает все методы (Request method) и передает на сторону сервера приложения.

Во время анализа кода одной CMS был обнаружен такой кусок кода. Что-то в нем сразу насторожило!

26770


Как потом узнали у разработчиков, они считали что "Не может быть запроса" без метода. И поэтому оставили console mod без авторизации, так как если у тебя есть доступ к SSH, то тебя уже мало что остановит. Соответсвенно все действия администратора можно провести без авторизации, если ты в console mode.

Если что, правильный путь это проверять тип...

Статья 10 полезных инструментов для OSINT

  • 30 229
  • 12
Доброго времени суток! Сегодня я попробую прокачать вашу коллекцию закладок OSINT утилит, и рассказать об интересных сайтах, которые часто помогают при поиске.

1. Сохраненные копии сайта от Google'a

Мало кто знает, что иногда гугл создает копии сайта:

26670


26671


И иногда такой архив сайта помогает узнать. что именно было удаленно, либо закрыто на том, или ином сайте. К сожалению, не всегда google создает кэшированные сайты, и, как назло, может кэшировать сайты без больших интервалов, что часто только усложняет поиск удаленной информации:

26672


2.Поиск по нику

Существует очень удобный сайт ( ). Он дает возможность узнать, имеет ли уже кто-то такой же...