home.social

#web_pentest — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #web_pentest, aggregated by home.social.

  1. Black Box пентест: как один домен привёл к полной компрометации инфраструктуры. Часть 1

    Привет, Хабр! В этой статье я хочу поделиться опытом проведения внешнего black-box пентеста и разобрать методологию, которая позволяет находить критические уязвимости даже при минимальном входном скоупе. Статья будет разбита на две части, про внешний расскажу я, а про внутренний расскажет мой коллега . Black-box подразумевает, что у пентестера нет никакой внутренней информации: ни списков IP, ни учётных данных, ни описания архитектуры. Только доменное имя - и вперёд. Звучит как ограничение, но на практике это зачастую преимущество: вы смотрите на инфраструктуру глазами реального злоумышленника. Целью данного пентеста является проверка возможности компрометации внутренней инфраструктуры через веб-приложения.

    habr.com/ru/articles/1026860/

    #Пентест #информационная_безопасность #black_box #sql_injection #web_pentest #white_hat

  2. Black Box пентест: как один домен привёл к полной компрометации инфраструктуры. Часть 1

    Привет, Хабр! В этой статье я хочу поделиться опытом проведения внешнего black-box пентеста и разобрать методологию, которая позволяет находить критические уязвимости даже при минимальном входном скоупе. Статья будет разбита на две части, про внешний расскажу я, а про внутренний расскажет мой коллега . Black-box подразумевает, что у пентестера нет никакой внутренней информации: ни списков IP, ни учётных данных, ни описания архитектуры. Только доменное имя - и вперёд. Звучит как ограничение, но на практике это зачастую преимущество: вы смотрите на инфраструктуру глазами реального злоумышленника. Целью данного пентеста является проверка возможности компрометации внутренней инфраструктуры через веб-приложения.

    habr.com/ru/articles/1026860/

    #Пентест #информационная_безопасность #black_box #sql_injection #web_pentest #white_hat

  3. Black Box пентест: как один домен привёл к полной компрометации инфраструктуры. Часть 1

    Привет, Хабр! В этой статье я хочу поделиться опытом проведения внешнего black-box пентеста и разобрать методологию, которая позволяет находить критические уязвимости даже при минимальном входном скоупе. Статья будет разбита на две части, про внешний расскажу я, а про внутренний расскажет мой коллега . Black-box подразумевает, что у пентестера нет никакой внутренней информации: ни списков IP, ни учётных данных, ни описания архитектуры. Только доменное имя - и вперёд. Звучит как ограничение, но на практике это зачастую преимущество: вы смотрите на инфраструктуру глазами реального злоумышленника. Целью данного пентеста является проверка возможности компрометации внутренней инфраструктуры через веб-приложения.

    habr.com/ru/articles/1026860/

    #Пентест #информационная_безопасность #black_box #sql_injection #web_pentest #white_hat

  4. Black Box пентест: как один домен привёл к полной компрометации инфраструктуры. Часть 1

    Привет, Хабр! В этой статье я хочу поделиться опытом проведения внешнего black-box пентеста и разобрать методологию, которая позволяет находить критические уязвимости даже при минимальном входном скоупе. Статья будет разбита на две части, про внешний расскажу я, а про внутренний расскажет мой коллега . Black-box подразумевает, что у пентестера нет никакой внутренней информации: ни списков IP, ни учётных данных, ни описания архитектуры. Только доменное имя - и вперёд. Звучит как ограничение, но на практике это зачастую преимущество: вы смотрите на инфраструктуру глазами реального злоумышленника. Целью данного пентеста является проверка возможности компрометации внутренней инфраструктуры через веб-приложения.

    habr.com/ru/articles/1026860/

    #Пентест #информационная_безопасность #black_box #sql_injection #web_pentest #white_hat

  5. Эксплуатируем уязвимость внедрения шаблонов на стороне сервера в обход песочницы

    Привет, Хабр, на связи лаборатория кибербезопасности компании AP Security! Сегодня речь пойдет о том, как можно использовать уязвимость внедрения шаблонов на стороне сервера (SSTI), когда сервер жертвы находится в изолированной среде (песочнице), при которой можно добиться удаленного выполнения кода (RCE). Всем приятного прочтения!

    habr.com/ru/articles/788446/

    #web #web_pentest #ssti