pentest

  1. Получил сертификат CWAP

    Получил сертификат CWAP

    Успешно сдал выпускной экзамен курса WAPT и прислал ролик. Будем рады, если каждый ученик "Codeby Security School" получит такую посылку. Актуальный список с...
  2. Vertigo

    Soft Утилита Helios и ещё несколько слов о Wordpress

    Приветствую,Уважаемые Друзья,Форумчане. Неприметная утилитка попалась на глаза,решил её потестировать. Она оказалась результативной на своём поле. Автор рассматриваемой утилиты Stefan Vlems г.Эйндховен-это Нидерланды. Для написания статьи также частично воспользовался вот этим материалом В...
  3. SooLFaa

    Статья Misconfiguration в сервисах разработки

    Час добрый, господа. По мотивам моего прошлогоднего доклада на ZeroNight сделаю статейку, того, о чем говорил я тогда... Довелось мне как то, в один из прекрасных вечеров, проверить на уязвимость кучу сервисов связанных с разработкой и в этой статье я поделюсь находками, о которых, уже...
  4. FlowLight

    Проблема Декодировать набор символов

    Всем доброго времени ! Во время тренировки на HTB столкнулся с незнакомой ситуацией . С помощью DIRB нашёл директорию на целевом хосте , прошёл по ссылке , а там это : �l�?]��I��6��WD�2z�!��l0a� 2�H� ����7�U��:IU_�J�6��9l�9�熼}W�Y�~����z�8��7~"J"/L$N~�xA�o#���{K�f4z��K�����*�?����a���...
  5. Vertigo

    Soft Pentest-Tools-Framework

    Приветствую Друзей и Уважаемых Форумчан. Сегодня расcмотрим интересный Framework для пентеста. Его автор из Индонезии-WongNdes0 (3xploit-db) Сам творец инструмента отзывается о нём несколько скромно,будто он для начинающих. Возможно,но функционал у Framework весёлый. Список опций Модули...
  6. FlowLight

    Проблема Софт для подмены ссылки !!!

    Всем доброго времени и спасибо большое что уделили своё время для прочтения данного сообщения ! На данный момент прохожу Web Delivery . Очень давно использовал софт для подмены ссылки , т.е. IPшник мог заменять на qwerty.ru с целью того , чтобы потенциальная жертва могла переходить на нужный мне...
  7. n3k1t

    Организация Hackathon-а

    Здравствуйте дорогие друзья! Я являюсь студентом 4 курса Одесского Национального Политехнического Университета, специальность ИБ. Пришла идея провести мероприятие по ИБ ,сектор ИБ развивается (речь идет об Одессе) но ему еще есть куда расти и хотелось бы поучаствовать в этом и так же...
  8. Vertigo

    Soft Инструменты Oneforall,Dirmap и Fuzzscan

    Приветствую Уважаемых Друзей и всех Жителей Форума. Сегодня немного поговорим о популярных инструментах в Поднебесной. Их объединяет способность нахождения директорий,субдоменов,скриптов,файлов xml,txt и т.д. Первый инструмент,который рассмотрим- Oneforall, созданный Jing Ling. Страница автора...
  9. larchik

    Статья Пентест веб-приложений: Роли пользователей. Процесс регистрации и получения аккаунта. Перечисление аккаунтов.

    Привет, Codeby! Продолжаем изучать пентест веб-приложений и OWASP Testing Guide. Сегодня поговорим о ролях пользователей, о процессе регистрации и получении аккаунта, а так же об определении имен и аккаунтов пользователей, зарегистрированных в системе. Соответствующий раздел OWASP Testing Guide...
  10. Vertigo

    Soft ReconCobra

    Добрый день,Друзья и Уважаемые Форумчане Сегодня представлю вам framework по сбору информации о ресурсе. Автором этого инструмента является Haroon Awan. И представляет школу пентеста Азии из Пакистана. Инструмент очень объёмный,включает в себя много различных модулей. Служит он для проверки...
  11. Vertigo

    Soft Kn0ck framework

    Приветствую Уважаемых Форумчан,Друзей и Читателей. Сегодня будет немного сумбурный обзор,на который потратил много времени. Потребовалось снести свою лабораторию для освобождения мест. И решил обновить дистрибутивы Kali и Parrot для VBox. В результате,вы видите обзор на Kali Linux 2019.2 Parrot...
  12. larchik

    Статья Пентест веб-приложений: Тестирование HTTP-методов, HSTS, кроссдоменных политик, прав доступа к файлам.

    Привет, codeby. В этой статье определим, какие HTTP-методы поддерживаются веб-сервером; узнаем, как метод TRACE связан с атакой XST; определим, включен ли на сервере механизм HSTS; поговорим о кроссдоменной политике и о правах доступа к файлам на сервере. HTTP-методы. Протокол HTTP имеет...
  13. GoodSmile

    Проблема Help от web пентестеров

    Добрый вечер, уважаемые форумчане. На одном сайте установлен редактор CKEditor версии 4.11.4. Весь админский штаб состоит из него, из-за которого нету других способов залить шелл. Через этот редактор можно добавить новые публикации, а также загружать картинки на сервер. Перехватывая запрос...
  14. larchik

    Статья Пентест веб-приложений: Обнаружение резервных копий, старых и забытых файлов. Поиск административных интерфейсов и подбор паролей к ним.

    Привет, codeby! В данной статье будет рассмотрена тема забытых файлов на сервере, устаревших файлов, бэкапов, временых файлов и тех, которые в принципе не должны быть доступны обычным пользователям из браузера. Рассмотрим угрозы, которые таят эти файлы и способы поиска таких файлов. Так же...
  15. larchik

    Статья Пентест веб-приложений: Тестирование конфигурации инфраструктуры приложения. Расширения файлов.

    Здравствуй, codeby! Тестирование безопасности платформы, на которой развернуто веб-приложение, так же важно, как и тестирование безопасности самого приложения. Вся инфраструктура сильна настолько, насколько сильно ее самое слабое звено. Некоторые ошибки конфигурации платформы могут...
  16. larchik

    Статья Пентест веб-приложений: Исследование исходного кода веб-страниц. Определение точек входа. Карта приложения.

    Исследование исходных кодов веб-страниц приложения. При тестировании веб-приложений методом BlackBox у нас, как правило, не будет доступа ко всем исходным кодам приложения. Однако нам всегда доступен исходный код веб-страниц. Его необходимо тщательно изучить на предмет утечек информации...
  17. larchik

    Статья Введение в пентест веб-приложений: поиск утечек информации с помощью поисковых систем

    Привет, Codeby! В прошлой статье я рассмотрел общий подход к тестированию веб-приложений, основаный на OWASP Testing Guide. Сегодня получим еще небольшую дозу теории и уже приступим к практической части. Считайте этот текст вольным и адаптированным (под меня)) переводом данного руководства...
  18. Vertigo

    Soft AUTO-RECON information gathering

    Добрый день,Уважаемые Друзья и Форумчане. Сегодня разберём работу нового инструмента из категории information gathering Автор скрипта gotr00t0day. Опций у данного инструмента нет,но разведывательную информацию он старается предоставить полноценную и исчерпывающую. Работа его автоматизирована и...
  19. SQL-инъекции урок 16

    SQL-инъекции урок 16

    Изучаем команды для слепой SQL-инъекции
  20. W

    Статья Установка и подготовка CMS WordPress для нужд начинающего пентестера или WP PenLAB - своими руками - часть 1

    (metasploit framework, WPScan и plecost в terminator, как пример организации рабочего места начинающего пентестера) Содержание: установка Apache, БД, CMS WordPress на локальный хост + альтернативный вариант для ленивых первоначальная настройка, обзор возможностей админ-панели выявление...