larchik

Привет, Codeby! Когда-то давно я начал перевод Owasp Testing Guide тут на форуме, но до сих пор не завершил начатое. "Штош", продолжим ) Это продолжение перевода You must be registered for see element., которая на данный момент является актуальной. Версия 5.0 в настоящее время находится в...

Привет, Codeby! Продолжаем изучать пентест веб-приложений и OWASP Testing Guide. Сегодня поговорим о ролях пользователей, о процессе регистрации и получении аккаунта, а так же об определении имен и аккаунтов пользователей, зарегистрированных в системе. Соответствующий раздел OWASP Testing Guide...

Привет, codeby. В этой статье определим, какие HTTP-методы поддерживаются веб-сервером; узнаем, как метод TRACE связан с атакой XST; определим, включен ли на сервере механизм HSTS; поговорим о кроссдоменной политике и о правах доступа к файлам на сервере. HTTP-методы. Протокол HTTP имеет...

Привет, codeby! В данной статье будет рассмотрена тема забытых файлов на сервере, устаревших файлов, бэкапов, временых файлов и тех, которые в принципе не должны быть доступны обычным пользователям из браузера. Рассмотрим угрозы, которые таят эти файлы и способы поиска таких файлов. Так же...

Здравствуй, codeby! Тестирование безопасности платформы, на которой развернуто веб-приложение, так же важно, как и тестирование безопасности самого приложения. Вся инфраструктура сильна настолько, насколько сильно ее самое слабое звено. Некоторые ошибки конфигурации платформы могут...

Привет, codeby! Сегодня мы научимся определять фреймворк и веб-приложение, а так же составим карту архитектуры приложения. На этом «разведка перед боем» будет завершена и следующих статьях приступим непосредственно к тестированию. Определение фреймворка и веб-приложения. Каркас (фреймворк)...

Исследование исходных кодов веб-страниц приложения. При тестировании веб-приложений методом BlackBox у нас, как правило, не будет доступа ко всем исходным кодам приложения. Однако нам всегда доступен исходный код веб-страниц. Его необходимо тщательно изучить на предмет утечек информации...

Представьте, что у нас есть веб-шелл на сайте, но другого доступа к серверу, кроме как через веб, мы не имеем. При этом мы хотим повысить свои привилегии до root. Ниже я расскажу, как это можно сделать. Для экспериментов я выбрал уязвимую виртуальную машину You must be registered for see...

Здравствуй, codeby! Продолжаем пентест и сегодня научимся определять поставщика и версию веб-сервера, искать веб-приложения на сервере и взглянем на robots.txt. Не пренебрегайте разведкой, ибо как вы увидите в некоторых примерах в статье - это очень важная часть тестирования. Результаты...

Привет, Codeby! В You must be registered for see element. я рассмотрел общий подход к тестированию веб-приложений, основаный на OWASP Testing Guide. Сегодня получим еще небольшую дозу теории и уже приступим к практической части. Считайте этот текст вольным и адаптированным (под меня)) переводом...