session hijacking
-
Статья CRLF Injection: от HTTP Response Splitting до захвата сессий — эксплуатация и реальные CVE
На bug bounty в финтехе я потратил три минуты на обнаружение CRLF injection в эндпоинте редиректа - и два часа на эскалацию до XSS через HTTP response splitting с захватом сессии администратора. Триажер поставил Medium, хотя цепочка вела до полного session hijacking через подставленный...- Сергей Попов
- Тема
- crlf injection crlf уязвимость cve-2023-4767 header injection http response splitting session hijacking web cache poisoning веб-пентест
- Ответы: 0
- Раздел: Безопасность веб-приложений
-
Статья Атаки на аутентификацию: полный разбор техник компрометации OAuth, MFA, Kerberos и identity-инфраструктуры
Три из четырёх вторжений в 2024 году обошлись без единого эксплойта. Атакующие просто вошли с валидными учётными данными. Среднее время от входа до латерального перемещения - 62 минуты, рекорд - 51 секунда. Проблема не в стенах, а в дверях: identity стала главным вектором компрометации. Каждая...- Сергей Попов
- Тема
- active directory пентест credential stuffing golden ticket identity security kerberoasting oauth token hijacking pass-the-hash session hijacking атаки на sso атаки на аутентификацию обход mfa
- Ответы: 0
- Раздел: Этичный хакинг и тестирование на проникновение
-
Статья MITM-атаки: Всё, что нужно знать
То, что суперчасто упоминается в моих статьях. Давайте развернём эту конфетку. Всё о MITM атаках: история, развитие и всё, что нужно знать Введение: от первых сетевых уязвимостей до современных методов перехвата В эпоху, когда компьютерные сети только начинали формироваться, безопасность...- xzotique
- Тема
- arp spoofing bettercap dns spoofing ettercap evil twin infosec man in the middle mitm session hijacking ssl stripping
- Ответы: 0
- Раздел: Безопасность веб-приложений