Следуйте инструкциям в видео ниже, чтобы узнать, как установить наш сайт как веб-приложение на главный экран вашего устройства.
Примечание: Эта функция может быть недоступна в некоторых браузерах.
Вы используете устаревший браузер. Этот и другие сайты могут отображаться в нём неправильно. Необходимо обновить браузер или попробовать использовать другой.
Введение: WebSocket в современном вебе
WebSocket — это протокол связи, обеспечивающий канал двусторонней передачи данных поверх одного соединения TCP.
Протокол WS: handshake, frames, opcodes
Клиент отправляет HTTP-запрос (метод GET), и в случае успеха сервер возвращает HTTP-ответ с кодом...
Всем привет.
Последние несколько месяцев работал над небольшим pet-проектом для обычных пользователей.
Идея появилась после того, как в окружении регулярно сталкивался с людьми, которые получали подозрительные SMS, письма, сообщения в мессенджерах или QR-коды и не понимали, что с ними делать...
Одна подмена параметра в API-запросе - и ты читаешь чужие паспортные данные, скачиваешь чужие документы или переназначаешь чужой проект на свой аккаунт. IDOR уязвимость - пожалуй, самый недооценённый класс проблем в bug bounty. Автоматические сканеры её не ловят, WAF не блокирует, а разработчики...
Купон на скидку применяется один раз. Так написано в ТЗ, так реализовано в коде, так проходит QA. А потом кто-то отправляет двадцать одинаковых POST-запросов в одном TCP-пакете - и купон применяется двадцать раз. Баланс уходит в минус, товар отгружается бесплатно, а в журналах всё выглядит как...
Забудьте про свои сканеры уязвимостей, которые тупо долбят 169.254.169.254 и радуются, если видят 200 OK. Сейчас мы поговорим о настоящем колдовстве: как заставить браузер жертвы атаковать сам себя. Как обмануть ту самую пресловутую Same-Origin Policy (SOP), которая якобы стоит на страже...
dns
dns rebinding
dns-rebinding
infosec
pentest
same-origin policy
атака на локальную сеть
безопасность браузера
веб-безопасность
взлом
защита от атак
информационная безопасность
OWASP Top 10 — это список десяти наиболее критичных уязвимостей в веб-приложениях, составленный Open Web Application Security Project (OWASP). Каждая из этих уязвимостей представляет собой реальную угрозу, которая может привести к компрометации системы, утечке данных или нарушению работы...
XSS-атака: определение и ключевые факты
XSS (Cross-Site Scripting) - атака на веб-приложение, при которой злоумышленник внедряет вредоносный JavaScript-код в страницу, выполняемый в браузере жертвы с правами доверенного сайта. Позволяет красть сессии, перенаправлять на фишинговые клоны...
Быстрый старт: установка и запуск sqlmap
sqlmap - open-source инструмент на Python для автоматического обнаружения и эксплуатации SQL-инъекций, поддерживающий 40+ СУБД (включая облачные - Amazon Redshift, Snowflake) и работающий с Python 2.7 и 3.x на любой платформе.
Установка и первые команды
В...
Введение
Приветствую дорогих читателей! Продолжая рубрику статей "Открытый код", я решил затронуть тему фишиговых и вредоносных ссылок. Разберу для вас как их распознавать и проверять, какие инструменты можно использовать для их анализа и само понимание структуры ссылки.
Как анализировать...
Хочешь защитить свой проект от хакеров, но не знаешь с чего начать? В новой статье на HackerLab.Pro мы разберем 6 лучших инструментов для тестирования безопасности веб-приложений — от автоматизированных сканеров до мощных ручных решений. Узнай, как находить уязвимости до того , как это сделают...
Всем привет!
Решил поделиться своим опытом получения сертификата OSWE в 2024 году.
У меня уже есть опыт сдачи сертификаций, участия в Standoff, да и мои рабочие задачи напрямую связаны с поиском уязвимостей, однако полноценного опыта работы в AppSec или опыта программирования у меня не было...
Существует стандартный информационный документ от OWASP (Open Web Application Security Project) - открытый проект по безопасности веб-приложений, созданный и поддерживаемый некоммерческой организацией OWASP Foundation. В нем приведен список критических уязвимостей веб-приложений. Этот список...
Приветствую всех читателей форума.
Сегодня я буду тестировать инстанс одного интересного приложения под названием "Vampi", любезно предоставленным @szybnev.
Приложение включает в себя уязвимости из OWASP API Security Top 10.
В статье будут подсвечены такие действия как:
- Чрезмерная уязвимость...
В чём суть…
Далеко не всегда всё идёт по плану. Многое можно просто оставить, думая о том, что встретил неэксплуатируемую уязвимость. Многое можно не заметить… Поэтому я пишу данный материал, что бы ты был готов. Здесь не будет мануала по взлому какого-то ресурса с данным багом. Я буду...
"Краткость - сестра таланта" - именно так сказал Антон Павлович Чехов, и теперь говорю я. Сегодня, завтра и до конца дней площадки речь пойдет о WebSocket-ах: "Что это?", "Как работает?" и главное - "Как это взламывать?" (в целях этичного хакинга конечно). Начнем с простого и будем идти к...
Введение
Приветствую всех читателей данной статьи, с неё собственно хочу начать свою новую рубрику "Дополни браузер". В этой рубрике я буду обозревать разнообразные браузерные расширения, которые как-либо связаны с информационной безопасностью: разведка, поиск уязвимостей, сокрытие какой-либо...
CSRF на JSON API: от разведки до эксплуатации. Практический кейс
Лирическое отступление
Вавилен был доволен своим рабочем местом в конторе. Он приносил деньги себе и своему начальству, которое давало для этого всю инфраструктуру. Но в один прекрасный день боссы, в очередной раз срубив куш на...
csrf
csrf атака web атаки
json jwt
sql injection
web aplication pentest
web autorization
xss
аудит
веб-безопасность
защита веб-приложений
информационная безопасность
кибербезопасность
сетевая безопасность
уязвимости
Конкурс: Встречаем 2020 статьями по инфобезу.
Вступление
В данной статье хотел бы рассказать о том, как я искал уязвимости в web приложении. Речь пойдёт о довольно не популярной уязвимости - Denial of Service. Эксплуатируя уязвимости данного типа можно "парализовать" сервер, не позволяя ему...
Привет, codeby!
В данной статье будет рассмотрена тема забытых файлов на сервере, устаревших файлов, бэкапов, временых файлов и тех, которые в принципе не должны быть доступны обычным пользователям из браузера. Рассмотрим угрозы, которые таят эти файлы и способы поиска таких файлов. Так же...
Здравствуй, codeby!
Тестирование безопасности платформы, на которой развернуто веб-приложение, так же важно, как и тестирование безопасности самого приложения. Вся инфраструктура сильна настолько, насколько сильно ее самое слабое звено. Некоторые ошибки конфигурации платформы могут...
На данном сайте используются файлы cookie, чтобы персонализировать контент и сохранить Ваш вход в систему, если Вы зарегистрируетесь.
Продолжая использовать этот сайт, Вы соглашаетесь на использование наших файлов cookie.