web aplication pentest

  1. Archivist

    Заметка [WriteUp] Web-6 smashmusic.edu.stf 10.124.1.241 | Standoff 365

    Платформа : standoff365.com Оглавление: 1. Nmap 2. Bypass redirect via jwt token 3. После обхода 4. Роботы на подработке 5. Руками 6. P.S от автора Nmap Проводим стартовую разведку Из портов на сайте нет ничего интересного PORT STATE SERVICE 22/tcp open ssh 80/tcp open http...
  2. Nebty

    Заметка Те самые фотки с сервера (18+). Standoff CTF [web-4] Удаленное выполнение кода (RCE) на узле shop.edu.stf

    You must be registered for see element. Введение Приветствую вас, дорогие читатели! Сегодня мы погрузимся в мир веб-безопасности и рассмотрим одну из наиболее критических уязвимостей — произвольную загрузку файлов, которая может привести к удаленному выполнению кода (RCE). Эта уязвимость...
  3. W

    Ищу тиммейтов ctf

    Ищу тиммейтов на решение цтфок. Могу в веб, есть навыки осинта, небольшой опыт в ведроиде (просто интересно покапаться в апкашках на предмет невнимательности автора). По площадкам предпочитаю HTB. По опыту спортивного взлома не очень, но интересно качаться в направлении. Кому интересно, можно...
  4. base64_32

    Soft WebFuzz

    Добрый день, сообщество codeby, недавно, при прохождении CTF на tryhackme вроде бы, я подумал, не стоит ли мне сделать свой вебфаззер на манер wfuzz, или ffuf, мне не сильно симпатизирует их реализация, поэтому я решил написать свой. Поэтому представляю вам свою вариацию вебфаззера You must...
  5. temujin

    Статья Импортозамещать ли Burp-Suite? Обзор актуальных сканеров WEB уязвимостей.

    You must be registered for see element. Привет Кодебай! Так уж вышло, что WEB сервисы стали настолько большими и продвинутыми, что без автоматизации провести их пентест - не тривиальная задача. Соответственно, нужно выбрать правильную лопату, чтобы эффективно копать искать уязвимости и...
  6. whyrus

    Статья Обзор курса Certified Bug Bounty Hunter (CBBH) от HTB Academy

    You must be registered for see element. Приветствую, в этой статье я расскажу о курсе и итоговом экзамене HTB CBBH. Надеюсь, что это даст понимание всем, кто собирается проходить курс и сдавать экзамен в будущем. О курсе HTB Certified Bug Bounty Hunter (HTB CBBH) — это практическая...
  7. apache2

    Статья [Authentication Vulnerability] Перебор имён пользователей

    Привет, это сегодня расскажу как можно пройти лабораторию "Username enumeration via response timing" от You must be registered for see element.. План статьи: 1) Введение - теория, узнаем как перебирать имена пользователя если мы не нашли разницу в длине ответа и в кодах ответа. Узнаем что такое...
  8. Местный

    Заметка Writeup web tasks MireaCTF

    Всех приветствую! Решил написать короткий райтап по MireaCTF - это соревнования только для студентов. Пишу райтап только по веб таскам. 1 ТАСК Я решал этот таск хитрым способом. Конечно, стоило бы сначала пофаззить сайт без авторизации, а потом указав куки в фаззер снова пофаззить, чтобы найти...
  9. Triple Moon

    sqlmap выдал md5 hash пароля в 30 символов а не в 32

    Всем привет, подскажите пожалуйста. На машине на которой находится hack the box выполнил команду sqlmap -u myurl --data="login=%D0%B9&password=%D1%86" --method POST --dbs --level 5 --risk 3 -D test_task -T users --dump и выводится 2 записи 1 это csec флаг, а вторая admin и его md5 hash...
  10. apache2

    Статья [Blind SQL Injection] Хакаем portswigger Conditional Errors

    Здравия желаю! В статье я пройдусь по лабе со You must be registered for see element.. Надеюсь, у всех читающих эту статью стандартная тема Codeby. Это мощная статья You must be registered for see element. План статьи: Докажем, что параметр уязвим Проверим существование базы данных Подтвердим...
  11. D

    Нужна помощь с CTF - JSON Web Token (JWT)

    Странно, ни одной темы с JWT на форуме не находит. Прошу дать направление, куда двигаться. В гугле одни и те же уязвимости обозревают, которые тут не работают. Прохожу тестовое задание. Как я понял, флаг находится на сервере. Как я могу через JWT залезть на сервер, какие вообще способы есть...
  12. Vavilen

    Статья Аудит веб-приложения. Уязвимость с CSRF

    You must be registered for see element. Лирическое отступление Вавилен был доволен своим рабочем местом в конторе. Он зарабатывал деньги себе и своему начальству, которое предоставляло для этого инфраструктуру. Но в один момент, начальство, очередной раз заработав на труде Вавилена, решает с...
  13. BearSec

    Статья Как я пытался сдать баги российской компании без BB и чем это закончилось

    Внимание: Все описанные ниже действия являются вымыслом. Все совпадения случайны, соблюдайте разумность и этику! 0. Введение Эта история началась совершенно случайно. Моя жена проходила продвинутые фонетические курсы английского языка и спросила меня, можно ли скачать учебные видео, поскольку...
  14. Pr0r0k

    Парсинг сайтов

    Здравствуйте, хотел бы узнать если обучиться парсингу сайта, это поможет в дальнейшем в ИБ, Уклон делаю на WEB-уязвимости? P.S. в ИБ пол года.
  15. Farxad Rzayev

    С чего начать

    Здравствуйте дорогие форумчане Подскажите пожалуйста с чего начать web penetration testing?
  16. Beginner Web Application Hacking (Full Course)

    Beginner Web Application Hacking (Full Course)

    The course provide an opportunity for those interested in becoming an ethical hacker / penetration tester the chance to learn the practical skills necessary to work in the field.