• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

Отчёт веб безопасности

EmptyR

EmptyR

Веб мастер
06.10.2010
153
0
BIT
0
Решил в последнее время привести свои "гневные" высказывания по состоянию веб безопасности сайтов к какому то понятному, легко читаемому виду. Родилась такая идея - создавать .doc файлы, в которых чётко, по пунктам расписаны такие вещи как:
1. Домены
2. Порты
3. Конфигурации
4. SEO
5. Другие параметры
6. Ошибки безопасности
7. Дополнительные рекомендации
Выкладываю сюда свою наработку, чтобы уважаемые форумчане или подсказали, чего не хватает, или покритиковали существующие пункты (возможно я что-то упустил).
В примерном файле идёт разбор сайта, который уже заведомо имеет уязвимый параметр SQLinj, любезно предоставленный 1ive, за что ему большое спасибо.
 

Вложения

  • Netakie.ws.doc
    151,5 КБ · Просмотры: 142
1

1ive

Пункт "SEO" IMHO совсем не в тему))
Лучше раздел "Актуальность ПО" сделай, чтоб "устаревший" апач в критические уязвимости не пихать.



Я понимаю что это пример, но если написал что это разбор определенного сайта, так и пиши только то, что к сайту относится)

XSS? Где ж ты её там нарыл?)) Никакого вывода там нет, поэтому XSS в принципе быть не может)
Для тех, кто не в теме -
Ссылка скрыта от гостей
- намерено уязвимый скрипт-головоломка)

Устаревшая версия PHP (5.3.3) и Apache (2.2.16) . Стебешься?) Гдеж она устаревшая? Просто "не последняя"
Ты это хостеру скажи, посмотрю куда он тебя с твоими "критическими уязвимостями" отправит.
Лучше отдельный раздел сделай, типа "Актуальность ПО"


Стандартная страница ошибок Apache:
Пример реализации:
Ссылка скрыта от гостей

Да ладно?? Нету ничего такого. И небыло
 
EmptyR

EmptyR

Веб мастер
06.10.2010
153
0
BIT
0
Лучше раздел "Актуальность ПО" сделай, чтоб "устаревший" апач в критические уязвимости не пихать.
Нажмите, чтобы раскрыть...
Хорошая идея, учту.
Устаревшая версия PHP (5.3.3) и Apache (2.2.16) . Стебешься?) Гдеж она устаревшая? Просто "не последняя"
Нажмите, чтобы раскрыть...
Окей, учту.
Стандартная страница ошибок Apache:
Пример реализации:
Ссылка скрыта от гостей

Да ладно?? Нету ничего такого. И небыло
Нажмите, чтобы раскрыть...
Разве на картинке не видно по этому адресу стандартной страницы ошибок Apache???
XSS? Где ж ты её там нарыл?)) Никакого вывода там нет, поэтому XSS в принципе быть не может)
Нажмите, чтобы раскрыть...
А это что такое тогда?

Итог: Или я что то не понимаю, или ты, одно из двух.
 
1

1ive

Со страницей ошибок ступил(
Не до конца понял о чем речь ( Это кстати тоже учти)) Человек должен понимать о чем говориться в этом .doc )

А вот с XSS кто-то из нас не прав.
Сейчас покажу))
Ссылка скрыта от гостей
- попробуй POST-ом из этой формы передать код)
Никаких изменений в код netakie.ws я не вносил, а это обычная post-форма передающая "SQLinj"
Ничего!) И даже быть не может.


Хотя в принципе разговор не об этом)
Оформление документа нужно изменить..
Чтобы всё поприятнее выглядело.

И есть еще одно предложение, это в личке продолжим, если хочешь.
 
Для ответа нужно войти/зарегистрироваться
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Верх Низ