web

  1. ripmandin

    Статья Host Header Injection: современный разбор уязвимости в веб‑системах

    Публикую перевод ресерчей по книге 2021 года от Brandon Wieser The Hackers Codex: Modern Web Application Attacks Demystified, потому что сам ничего подобного сотворить пока не могу :*( Html Injection Host Header Injection Username Enumeration – SSN Same Origin Policy и Exploiting CORS...
  2. ripmandin

    Статья Современные web-уязвимости (1.Html Injection)

    Публикую перевод ресерчей по книге 2021 года от Brandon Wieser The Hackers Codex: Modern Web Application Attacks Demystified, потому что сам ничего подобного сотворить пока не могу :*( Html Injection Host Header Injection Username Enumeration – SSN Same Origin Policy и Exploiting CORS...
  3. R

    Снимаем мобильный трафик. Обход ssl pinning

    Привет codeby, уже выложил эту же тему еще на других форумах, но там это никому не интересно. Так что выкладываю сюда, уже видел несколько тем где пользователи искали как убирать ssl pinning с мобильных приложений. Вот вам способ который использую я. [ УСТАНОВКА ] [ СНЯТИЕ ТРАФИКА ]...
  4. Ficoos

    Web авторизация

    Доброго дня, форумчане. Случилось затруднение в причине авторизации к каждой базе через веб интерфейс. Страницы написаны на xPages. Есть первая страница, на которой находится что-то типа справочника со списком баз, которые доступны в веб. При переходе к каждой базе предлагается авторизоваться...
  5. C

    mod_rewrite и поиск параметров

    Всем привет! Сейчас практически на всех веб приложениях включен данный мод в связи с этим у меня назрел вопрос Реально ли как то доставать параметры get с вкл данной функцией на сайтах?
  6. U

    Сайт с двойным дном

    Здравствуйте. Столкнулся с проблемой. Есть сайт: Welcome! Если его отыкрыть, вставив ссылку в адресную строку браузера, то сайт не откроется. Если вставить ссылку через поисковик, то сайт откроется. Как это было сделано? Как отыкрыть сайт по прямой ссылке? Я заметил, что единственное отличие -...
  7. I

    Учитель по мобильному веб интерфейсу Domino

    Здравствуйте, коллеги! Ищу опытного разработчика Domino, который за определенную плату обучит меня разрабатывать функционал по веб интерфейс для мобильных приложений (Safari, Chrome и т.д.). Если есть предложения, прошу писать мне в личку здесь, либо на почту dan_bobr@mail.ru. Благодарю.
  8. A

    Как Вы считаете, стоит ли мне браться за веб-программирование?

    У меня сложилось нехорошая жизненная ситуация(мне 24): я не смог отучиться ни на мехмате МГУ из-за слабой нервной системы (математика там совсем другая, нежели геометрия и алгебра в школе, более теоретическая и абстрактная, вообщем, не воспринял ее нормально), ни на физфаке МГУ на очном...
  9. M

    ckeditor 3.5.2 залить php shell

    В общем ситуация такая, есть самописный движок, уязвимостей куча, далеко ходить не надо, одна кавычка и сразу sql инъекция. Логин и пароль от админ панели получены, админ панель ущербная, загрузить можно только картинку, но загруженный файл переименовывается, так варианты с двойным, тройным...
  10. P

    Нужен совет/помощь по созданию софта (бота для сайтов) на с++ или питоне3.

    Привет. Появилась у меня идея по созданию бота, который автоматизировал бы действия пользователя на сайте. Для чего это мне? Допустим есть сайт catcut, где мне платят за просмотренную ссылку с рекламой кем-то. Крч это сервис сокращающий ссылку и добавляющий рекламу. Так вот, я начинающий...
  11. swagcat228

    [WEB] BurpSuite + аудит веб приложения.

    Хоть я больше люблю всякие митмы, но пришлось заставить себя вспоминать бурп. ближе к сути: POST...
  12. swagcat228

    [WEB VULN SCANNER] Arachni

    Выдалась минутка и я решил посвятить её очень беглому обзору весьма интересного инструмена для веб аудита - Arachni. Сайт разработчика Arachni - Web Application Security Scanner Framework Недавно в своем блоге разработчик заявил, что вынужден остановить поддержку проекта в пользу коммерческих...
  13. CYBRED

    Гостевая статья Сомнительное путешествие от XSS к RCE

    Как многие читающие, наверняка, знают, в середине апреля 2019 года была обнаружена уязвимость удаленного выполнения кода в клиенте EA Origin (CVE-2019-11354). О ней и некоторых других багах, @zer0pwn с другом @Daley решили рассказать на страницах своего блога. Отладка Origin Многие...
  14. swagcat228

    Тест на проникновение - WORDPRESS?

    Доброго времени суток, товарищи. Давно я не занимался веб-похеком, и вот, на почве жажды отмщения, начал я аудит одной конторы. Среди всего интересного попался мне WP 4.7.2 причем на IIS7. Из плагинов только nextgen-gallery 2.2.3 которая не особо что-то дает, если нету аккаунта. Да и по...
  15. Y

    Статья Пароли под защитой GPG

    Предисловие Хранить пароли в гугл-хроме очень удобно. Можно залогиниться с любого устройства под своим аккаунтом и получить доступ ко всем сайтам и паролям. Круто? Круто. До тех пор, пока вы не поймаете стилер. Проприетарные менеджеры так же удобны. Но концепция хранения моих паролей где-то...
  16. lomini

    Ищу специалистов в Пентестинге.

    Ищу людей профи своего дела , кто хорошо разбирается в Веб Пентестинге , но кто не знает как монетизировать свои навыки. Есть несколько интересных предложений , для тех кому нужна работа. ( Серые Шапки ). От вас: Web Pentest Знание популярных CMS. От нас: Постоянная работа. Достойные...
  17. NostroGuardian

    Пожалуйста, объясните содержимое python скрипта.

    Всем доброго времени суток. Пожалуйста, объясните содержание данного скрипта: import requests import hashlib import re url="http://docker.hackthebox.eu:33205/" r=requests.session() out=r.get(url) out=re.search("<h3 align='center'>+.*?</h3>",out.text) out=re.search("'>.*<",out[0])...
  18. B

    Статья Слепая SQL инъекция

    Оригинал: Blind SQL Injection Продолжайте только если уже познакомились с основами SQL инъекций. Если нет, сначала прочитайте эти посты: SQL-инъекции: простое объяснение для начинающих Ручные SQL инъекции (с помощью одного только браузера) Автоматические SQL инъекции с помощью SQLMap (Kali...
  19. C

    Статья Учим PHP: Основы и принцип работы

    Доброго времени суток, codeby. Я сейчас всё чаще и чаще вижу негатив в сторону PHP, но многие закрывают глаза на то, что PHP невероятно сильно улучшился за последние годы и умирать он точно не собирается. Перед тем как разобраться что же такое PHP и понять области его применения, нам необходимо...
  20. X

    Как модифицировать Set-Cookie?

    Решая одну из задачек ( дан магазин, купи флаг ) Стандартный вариант с изменением параметра валюты в cookie не помог, значение amount всегда рано 1, что при удачной, что при неудачной покупке. Создается ощущение, что ничего вообще не меняется кроме отклика сервера. Не подскажете, в чем проблема?