web

Write-up-POSTimsya CTF ПОСТимся https://hackerlab.pro/categories/web/278a31a5-0091-4190-a189-bf374c5ded2d Открывается сайт Сразу же посмотрим код элемента через F12 Заметим форму отправку, а также скрипт, который на стороне сервера. Форма отправляется на /api/posts/search. В скрипте ниже...

Название: Конвертер Категория: Web Уровень: Лёгкий Ссылка на задание: https://hackerlab.pro/categories/web/8c871c3d-c395-47f6-9f3d-93ec11ed5b6f Баллы: 300 Reconnaissance Нас встречает обычный ASCII конвертер, который кодирует текст и декодирует его. Первая мысль это CMD Injection, поскольку...

Название: Flag shop Категория: Web Уровень: Средний Ссылка на задание: https://hackerlab.pro/categories/web/77d1b94d-feee-4a16-a261-b17dd043a8e7 Баллы: 500 Reconnaissance Мы видим маркетплейс с некоторыми товарами для покупки, создаём аккаунт и авторизируемся. На нашем счету есть $100 и мы...

Название: devops 300k/s Категория: Web Уровень: лёгкий Ссылка на задание: https://hackerlab.pro/en/categories/web/11c3ec5d-9bac-4648-9cd3-f20d9064d437 Баллы: 300 Reconnaissance Когда я только попал на сайт, сразу же я приступил к изучению исходного кода. Меня очень зацепил обфусцированный код...

Название: Просто найди его Категория: Web Уровень: лёгкий Ссылка на задание: https://hackerlab.pro/en/categories/web/722714c7-d357-4680-b389-44ca6a1d89ee Баллы: 50 Reconnaissance Первое что я увидел, так это кнопка при нажатии которой выводится "совет". Первая мысль которая меня посетила это...

«В каждой профессии есть ритуал инициации, о котором не принято говорить вслух. У хирургов — первая ночная смена с тяжёлым пациентом. У пилотов — посадка вслепую на тренажёре. У багхантеров и пентестеров есть Карлос. Да, тот самый Carlos, чей пароль или токен вы будете выгрызать из...

Суть проста: ты отправляешь JSON на сервер, а он автоматически маппит все поля на модель. И если разработчик забыл поставить фильтр, любое лишнее поле - например, "is_admin": true - становится частью твоей учётной записи. И вот ты уже не просто пользователь, а администратор. Или можешь менять...

Знаешь это чувство, когда твой мониторинг начинает сходить с ума, но не от взлома, а от чего-то более примитивного и оттого более бесячего? Сеть не ломают. Ее просто топят. Мусорным трафиком, тупым и неостановимым, как паводок. В один момент канал, который еще секунду назад пропускал клиентов...

Сегодня на столе - WebSocket. Не та картинка, которую рисуют на хакатонах, а его пульсирующая изнанка: конфигурации, которые режут по живому, и тихая, почти невидимая эксплуатация. WS Underworld: Когда живой канал становится твоей задней дверью Зачем нам это? Все слышали про WebSocket (далее...

Введение Когда люди слышат про CTF, у них в голове создаётся пугающий образ. Какие-то загадочные заданя, флаги, уязвимости, программирование – казалось, что туда пускают только избранных, которые программируют с пелёнок и знают как всё работает. И на самом деле, каждый кто сейчас щёлкает таск за...

всех приветствую, очень нужна помощь с решением таска. задача - через уязвимость в десериализации прочитать файл /etc/flag. исходники - тык сайт на PHP 7.4.33 есть вот такая форма: и скрытый параметр state...

Всем привет! Не могу никак додуматься до решения задачи по WEBу. Задание: Вы обнаружили сайт компании, на котором есть административная панель. Однако доступ к ней ограничен. Ваша задача — найти уязвимость CRLF Injection и получить доступ к флагу, который скрыт в ответе сервера. Сам сайт...

Burpsuite Pro v2025.2.4 Burp Suite — это интегрированная платформа, предназначенная для проведения аудита веб-приложения, как в ручном, так и в автоматических режимах. https://mega.nz/file/hg9xXBZJ#jxqRx6pcNTw2RMbt4xis6dmn8CpiPgTk3OXi1eh2PUw

Я занимаюсь разработкой с использованием Node.js и TypeScript, а также работаю с базами данных и занимаюсь реверс-инжинирингом. Ниже перечислю технологии, которые использую в своих проектах: Backend Node.js TypeScript NestJS Express.js Fastify Базы данных MongoDB PostgreSQL Redis...

👋 Приветствую! Я занимаюсь разработкой софта, созданием веб-сайтов, настройкой серверов и консультированием по вопросам безопасности в сети. 🎯 В моем арсенале" - 🔍 Парсеры и полный цикл разработки сайтов (от лендингов и скриптов с простой панелью управления до интернет-магазинов); - 🌐...

Введение В данной части моего большого монолога про фаззинг веб приложених я хочу отступить от намеченного плана и немного углубиться в искусство и науку фаззинга, изучить его применение для обнаружения каталогов, атаки на формы входа и выявление потенциальных уязвимостей в целом. Используя...

Цель фаззинга: Предметом интереса являются падения и зависания, нарушения внутренней логики и проверок в коде приложения, утечки памяти, вызванные такими данными на входе. Фаззинг является разновидностью выборочного тестирования (random testing), часто используемого для проверки проблем...

Всем привет. Как-то скучным зимним вечером мне захотелось получить своих персональных CVE. Для этого я стал выбирать CMS, которые хочу потестить и мой выбор пал на CMS Zenario. Почему на эту CMS? Она мало известна, написана на PHP, при этом она постоянно патчится, то есть актуальна. Забегая...

Хотел написать заметку по мотивам конкурса, но получилась статья ) И так, имеем веб-приложение - корпоративный портал. В портале тысячи пользователей, все сотрудники организации (или почти все). Внутри портала корпоративные чаты, личные чаты, задачи, планы, такой отечественный аналог Jira и...

Приветствую! Раз объявили конкурс статей, то почему бы не поучаствовать. Специально для codeby.net Автор: KnightPentest GPT 4.0 Это очень полезная нейронка для пентестера. В этой статье я продемонстрирую, как ее можно использовать на периметре. Анализируем исходники CMS Наверное каждый из нас...