Test lab 15 writeup: как вам н0в1ч0к?
, , ,

15-го марта 2021 г. мы запустили пятнадцатую по счёту лабораторию тестирования на проникновение Test lab под кодовым названием названием: Who is the n0v1ch0k?

На 12 день в режиме нон-стоп участнику BadBlackHat удалось первому скомпрометировать все узлы лаборатории. Для всех остальных, кто пытался, пытается и будет пытаться пропентестить Test lab 15, мы решили опубликовать ее прохождение.

Лаборатории Test lab — бесплатные площадки для проверки и закрепления навыков тестирования на проникновение, представляющая собой корпоративную сеть виртуальной компании из уязвимых и неуязвимых компонентов (серверов, сетевого оборудования и рабочих станций).

Итак, пришло время разобрать все задания Test lab 15, чтобы дать возможность тем, у кого не получается, глубже погрузиться в мир информационной безопасности и узнать для себя что-то новое. Содержание получилось довольно объёмным, но, надеемся, что интересным.

Читать далее Test lab 15 writeup: как вам н0в1ч0к?

Как я Корпоративные лаборатории Pentestit проходил
,

Приветствую всех, кто меня читает. Совсем недавно я решил пройти курс «Корпоративные Лаборатории» от компании Pentestit. По окончании обучения я оставил отзыв, и меня попросили опубликовать его.

Читать далее Как я Корпоративные лаборатории Pentestit проходил

How to c[RU].sh или как была взломана Test lab 14
, ,

10-го декабря 2019 г. мы запустили четырнадцатую по счёту лабораторию. На девятый день в режиме нон-строп трем участникам удалось скомпрометировать узлы лаборатории, определив победителей этого сезона. Для всех остальных, кто пытался, пытается и будет пытаться пропентестить Test lab 14 мы решили опубликовать ее прохождение.

Лаборатория Test lab — бесплатная площадка для проверки и закрепления навыков тестирования на проникновение, представляющая собой корпоративную сеть виртуальной компании из уязвимых и неуязвимых компонентов (серверов, сетевого оборудования и рабочих станций).

Итак, пришло время разобрать все задания Test lab 14, чтобы дать возможность тем, у кого не получается, глубже погрузиться в мир информационной безопасности и узнать для себя что-то новое. Содержание получилось довольно объёмным, описание — лаконичным, но, надеемся, что интересным. Читать далее How to c[RU].sh или как была взломана Test lab 14

Just crush it: лаборатория тестирования на проникновение Test lab 14
,

Запуск 14-й лаборатории состоится 10 декабря 2019 года. Специалисты в области ИБ смогут легально оценить силы в поиске и эксплуатации уязвимостей, закрепить навыки и определить лидеров этого сезона.

Читать далее Just crush it: лаборатория тестирования на проникновение Test lab 14

Корпоративные лаборатории Pentestit — от тестирования на проникновение до расследования инцидентов ИБ
,

Информационная безопасность стала очень популярной штукой. И может быть вы уже слышали о лабораториях тестирования на проникновение Test lab, которые мы публикуем в открытом доступе каждый год? Лаборатории, где любой желающий может проверить и закрепить свои навыки поиска и эксплуатации уязвимостей.

Читать далее Корпоративные лаборатории Pentestit — от тестирования на проникновение до расследования инцидентов ИБ

Перевод OWASP Testing Guide. Часть 3.9.
,

Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о сохранении паролей.

Предыдущие статьи

  1. Тестирование: введение и задачи
  2. Сбор информации с помощью поисковых систем
  3. Определение веб-сервера
  4. Поиск информации в метафайлах веб-сервера
  5. Определение веб-приложений на сервере
  6. Поиск утечек информации в комментариях и метаданных
  7. Определение точек входа веб-приложения
  8. Составление карты веб-приложения
  9. Определение фреймворка веб-приложения
  10. Определение веб-приложения
  11. Составление карты архитектуры веб-приложения
  12. Тестирование конфигурации инфраструктуры веб-приложения
  13. Изучение расширений файлов
  14. Поиск страрых версий веб-приложения, скрытых файлов и резервных копий
  15. Поиск административных интерфейсов
  16. Тестирование HTTP методов
  17. Тестирование HSTS
  18. Тестирование кросс-доменной политики
  19. Изучение ролей пользователей
  20. Тестирование процесса регистрации
  21. Предоставление учетных записей
  22. Определение имен пользователей
  23. Обход аутентификации

Читать далее Перевод OWASP Testing Guide. Часть 3.9.

Перевод OWASP Testing Guide. Часть 3.8.
,

Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет об обходе аутентификации.

 

Предыдущие статьи
  1. Тестирование: введение и задачи
  2. Сбор информации с помощью поисковых систем
  3. Определение веб-сервера
  4. Поиск информации в метафайлах веб-сервера
  5. Определение веб-приложений на сервере
  6. Поиск утечек информации в комментариях и метаданных
  7. Определение точек входа веб-приложения
  8. Составление карты веб-приложения
  9. Определение фреймворка веб-приложения
  10. Определение веб-приложения
  11. Составление карты архитектуры веб-приложения
  12. Тестирование конфигурации инфраструктуры веб-приложения
  13. Изучение расширений файлов
  14. Поиск страрых версий веб-приложения, скрытых файлов и резервных копий
  15. Поиск административных интерфейсов
  16. Тестирование HTTP методов
  17. Тестирование HSTS
  18. Тестирование кросс-доменной политики
  19. Изучение ролей пользователей
  20. Тестирование процесса регистрации
  21. Предоставление учетных записей
  22. Определение имен пользователей
  23. Определение правил генерации имен пользователей
  24. Изучение передачи пользовательских данных
  25. Тестирование учетных данных по умолчанию
  26. Изучение механизма блокировки учетных записей

 

Читать далее Перевод OWASP Testing Guide. Часть 3.8.

Перевод OWASP Testing Guide. Часть 3.7.
,

Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о механизме блокировки учетных записей.

 

Предыдущие статьи
  1. Тестирование: введение и задачи
  2. Сбор информации с помощью поисковых систем
  3. Определение веб-сервера
  4. Поиск информации в метафайлах веб-сервера
  5. Определение веб-приложений на сервере
  6. Поиск утечек информации в комментариях и метаданных
  7. Определение точек входа веб-приложения
  8. Составление карты веб-приложения
  9. Определение фреймворка веб-приложения
  10. Определение веб-приложения
  11. Составление карты архитектуры веб-приложения
  12. Тестирование конфигурации инфраструктуры веб-приложения
  13. Изучение расширений файлов
  14. Поиск страрых версий веб-приложения, скрытых файлов и резервных копий
  15. Поиск административных интерфейсов
  16. Тестирование HTTP методов
  17. Тестирование HSTS
  18. Тестирование кросс-доменной политики
  19. Изучение ролей пользователей
  20. Тестирование процесса регистрации
  21. Предоставление учетных записей
  22. Определение имен пользователей
  23. Определение правил генерации имен пользователей
  24. Изучение передачи пользовательских данных
  25. Тестирование учетных данных по умолчанию

 

Читать далее Перевод OWASP Testing Guide. Часть 3.7.

Перевод OWASP Testing Guide. Часть 3.6.
,

Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о учетных данных по умолчанию.

 

Предыдущие статьи
  1. Тестирование: введение и задачи
  2. Сбор информации с помощью поисковых систем
  3. Определение веб-сервера
  4. Поиск информации в метафайлах веб-сервера
  5. Определение веб-приложений на сервере
  6. Поиск утечек информации в комментариях и метаданных
  7. Определение точек входа веб-приложения
  8. Составление карты веб-приложения
  9. Определение фреймворка веб-приложения
  10. Определение веб-приложения
  11. Составление карты архитектуры веб-приложения
  12. Тестирование конфигурации инфраструктуры веб-приложения
  13. Изучение расширений файлов
  14. Поиск страрых версий веб-приложения, скрытых файлов и резервных копий
  15. Поиск административных интерфейсов
  16. Тестирование HTTP методов
  17. Тестирование HSTS
  18. Тестирование кросс-доменной политики
  19. Изучение ролей пользователей
  20. Тестирование процесса регистрации
  21. Предоставление учетных записей
  22. Определение имен пользователей
  23. Определение правил генерации имен пользователей
  24. Изучение передачи пользовательских данных

Читать далее Перевод OWASP Testing Guide. Часть 3.6.

Перевод OWASP Testing Guide. Часть 3.5.
,

Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о передаче пользовательских данных.

 

Предыдущие статьи
  1. Тестирование: введение и задачи
  2. Сбор информации с помощью поисковых систем
  3. Определение веб-сервера
  4. Поиск информации в метафайлах веб-сервера
  5. Определение веб-приложений на сервере
  6. Поиск утечек информации в комментариях и метаданных
  7. Определение точек входа веб-приложения
  8. Составление карты веб-приложения
  9. Определение фреймворка веб-приложения
  10. Определение веб-приложения
  11. Составление карты архитектуры веб-приложения
  12. Тестирование конфигурации инфраструктуры веб-приложения
  13. Изучение расширений файлов
  14. Поиск страрых версий веб-приложения, скрытых файлов и резервных копий
  15. Поиск административных интерфейсов
  16. Тестирование HTTP методов
  17. Тестирование HSTS
  18. Тестирование кросс-доменной политики
  19. Изучение ролей пользователей
  20. Тестирование процесса регистрации
  21. Предоставление учетных записей
  22. Определение имен пользователей
  23. Определение правил генерации имен пользователей

 

Читать далее Перевод OWASP Testing Guide. Часть 3.5.