home.social
Sign in Create account

#burp_suite — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #burp_suite, aggregated by home.social.

  1. Habr @[email protected] ·

    Кастомные вордлисты для самых маленьких

    Ни для кого не секрет, что качественные вордлисты - это ключ к эффективному фаззингу и, как следствие, большему покрытию скоупа и хорошим файндингам во время пентеста и баг-баунти. Однако вордлисты в общем доступе далеко не всегда дадут достаточное покрытие, какими бы большими они ни были. У веб-приложения может быть свой специфический нейминг путей и параметров. Некоторые ручки могут находиться на внескоуповых доменах и дублироваться на скоуповых, иногда даже с измененной функциональностью. Часть параметров и вовсе не удастся найти без ручного анализа JavaScript-кода приложения. Здесь в игру вступают кастомные вордлисты, закрывающие все вышеперечисленные нюансы. Благодаря ним можно значительно эффективнее проводить фаззинг путей веб-приложения, а также брутить параметры его запросов. Эта статья - первая из цикла про кастомные словари, рассказывающая про сбор базового вордлиста без особых усилий. В следующей статье я расскажу про создание более комплексного кастомного вордлиста, требующего больших затрат по времени.

    habr.com/ru/companies/deiteriy

    #информационная_безопасность #пентест #фаззинг #багбаунти #безопасность_вебприложений #burp_suite #ffuf #recon #api_testing

    #api_testing #recon #ffuf #burp_suite #безопасность_вебприложений #багбаунти
  2. 0xceba @[email protected] ·

    this is your reminder that if you're using Burp for web app testing, you should be using an extension that lets you use variables in your outgoing requests. variables functionality gives you a single place to update credential, token, and identifier values which improves productivity and reduces false positives. there are a few extensions that provide this functionality and I recommend my extension, Burp Variables, which is purpose-built for it: github.com/0xceba/burp_variabl

    #burp #burpsuite #burp_suite #pentesting #pentest #bugbounty #bugbountytips #hacking

    #burp #burpsuite #burp_suite #pentesting #pentest #bugbounty
  3. 0xceba @[email protected] ·

    this is your reminder that if you're using Burp for web app testing, you should be using an extension that lets you use variables in your outgoing requests. variables functionality gives you a single place to update credential, token, and identifier values which improves productivity and reduces false positives. there are a few extensions that provide this functionality and I recommend my extension, Burp Variables, which is purpose-built for it: github.com/0xceba/burp_variabl

    #burp #burpsuite #burp_suite #pentesting #pentest #bugbounty #bugbountytips #hacking

    #hacking #bugbountytips #bugbounty #pentest #pentesting #burp_suite
  4. raptor @[email protected] ·

    Presented without commentary

    #burp #burp_suite #ux

    #burp #burp_suite #ux
  5. Habr @[email protected] ·

    От подбора пароля к WiFi до пентеста серверов Apple: разговор с топовыми багхантерами из Synack и HackerOne

    Привет! На связи команда Standoff Bug Bounty. Недавно мы провели откровенный разговор с топовыми багхантерами — теми, кто превратил поиск уязвимостей в профессию. Они рассказали, как начинали свой путь, поделились личными историями и профессиональными секретами. В этой статье вас ждет рассказ иностранных исследователей о самых запоминающихся репортах в их практике, уязвимостях, которые всегда в топе у исследователей, must-have инструментах для поиска багов и о роли ИИ в багхантинге. Читать

    habr.com/ru/companies/pt/artic

    #интервью #багхантеры #standoff_365 #standoff_bug_bounty #багбаунти #ssrf #xss #burp_suite #брутфорс #парольная_защита

    #парольная_защита #брутфорс #burp_suite #xss #ssrf #багбаунти
  6. 0xceba @[email protected] ·

    after a lengthy concept review, code review, and QA process, PortSwigger has published the Burp Variables extension to the BApp Store! if you do API testing from Burp, you should look into this productivity extension which allows you to store and reuse variables in your outgoing requests, similar to other API testing clients like Postman and Insomnia. this is a productivity boon because it gives you single place to update ephemeral credential/token values and it helps you keep track of your identifiers & credentials which minimizes false positives. to learn more:

    - install the extension from the BApp Store
    - see more details at the BApp Store page: portswigger.net/bappstore/27f8
    - review the source code at the extension's source repo: github.com/0xceba/burp_variabl

    #burp #burpsuite #burp_suite #pentesting #pentest #bugbounty #bugbountytips #hacking #cybersecurity #infosec

    #burp #burpsuite #burp_suite #pentesting #pentest #bugbounty
  7. Habr @[email protected] ·

    Начинаем в багбаунти: распродажа уязвимостей в Juice Shop, или Как искать простейшие баги в веб-приложениях

    Привет, меня зовут Анна Куренова ( @SavAnna ), в IT я уже девять лет. Начинала как разработчик и тестировщик, потом начала искать уязвимости и перешла в ИБ. Сейчас работаю DevSecOps-инженером и веду телеграм-канал 8ug8eer . В этой статье поговорим о базовых вещах в вебе и некоторых простых уязвимостях, поиск которых под силу даже начинающим. Текст будет полезен новичкам в сфере безопасности и тестирования софта. Нашим подопытным станет магазин соков под незамысловатым названием Juice Shop. Это уже готовое приложение, которое работает на HTTP/1.1. Я развернула его на своем домене, который содержит множество уязвимостей и отлично подходит для обучения. Продолжим

    habr.com/ru/companies/pt/artic

    #cybersecurity #уязвимости_и_их_эксплуатация #багхантинг #багбаунти #juice_shop #burp_suite #stored_xss #idor #contenttype

    #contenttype #idor #stored_xss #burp_suite #juice_shop #багбаунти