Аудит Web-приложения – систематизируем тестирование
, ,

В предыдущей статье я рассмотрел методологию тестирования Web-приложения. Она не является обязательным стандартом, но поможет вам не пропустить уязвимости в больших проектах. Теперь я подробнее опишу каждый из этапов.

Читать далее Аудит Web-приложения – систематизируем тестирование

Методология тестирования Web-приложения
, ,

Во время тестирования Web-приложения и поиска уязвимостей в нём очень важно придерживаться некоторой методологии, иначе вы можете упустить что-нибудь важное. Чем крупнее приложение, тем важнее систематизированный подход.

Читать далее Методология тестирования Web-приложения

Инструменты для проведения bruteforce-атак: hydra, medusa, patator
, , , ,

Брутфорс (полный перебор, en brute force/Bruteforce, в обиходе просто брут) — метод «грубой силы» или «атака в лоб», перебор паролей, попытка подобрать пароль полным или частичным перебором. Специфика данного метода взлома состоит в том, что он не гарантирует успех подбора правильного пароля, однако процент достижения поставленной цели возрастает от количества паролей которые изначально заданы.  Для этого существует несколько утилит — Hydra, Medusa, Patator.

Читать далее Инструменты для проведения bruteforce-атак: hydra, medusa, patator

ЦУ для начинающих пентестеров

В связи с участившимися за последнее время атаками хакеров, а также их масштабами, большинство компаний все больше внимания стало уделять вопросам своей защиты. В связи с чем вырос спрос на услуги пентестеров. Если раньше в своем штате держали пентестеров только крупные компании-разработчики, то в настоящее время все чаще стали появляться вакансии и в мелких компаниях, а также стартапах. Читать далее ЦУ для начинающих пентестеров

Прохождение hackertest.net

Данной статьёй я начинаю серию write-up’ов тренировочных площадок. Площадки могут быть как общего направления, так и конкретно под один тип уязвимости, например xss. Практически всегда я буду пользоваться Kali Linux и инструментами, входящими в него. И первой такой площадкой является сайт hackertest.net. Это 20 уровней, проверяющие ваши знания в области web-безопасности, javascript, немного стеганографии и логики в целом. Читать далее Прохождение hackertest.net

Автоматизация использования поисковых систем
, , ,

Вряд ли для кого то будет откровением что при неоднократном выполнении каких то повторяющиеся действий в конце концов хочется их автоматизировать чтобы высвободить время под более интересные занятия. Начальный сбор информации при проведении пентеста, в частности пассивный сбор информации, является одним из обязательных этапов, и хоть и дает простор для творчества, но по большей части представляет собой набор рутинных действий. К тому же автоматизация исключает возможность пропустить какие то проверки, что тоже не маловажно.

Читать далее Автоматизация использования поисковых систем

Kali Rolling ISO of Doom, Too!
,

В данной статье будет рассмотрено как  сгенерировать саморазворачивающийся ISO-образ агента для создания VPN-туннеля до нашего Kali Rolling сервера из тестируемой подсети заказчика (back-connect + bridged VPN).

Читать далее Kali Rolling ISO of Doom, Too!