Аудит Web-приложения – систематизируем тестирование
, ,

В предыдущей статье я рассмотрел методологию тестирования Web-приложения. Она не является обязательным стандартом, но поможет вам не пропустить уязвимости в больших проектах. Теперь я подробнее опишу каждый из этапов.

Читать далее Аудит Web-приложения – систематизируем тестирование

Методология тестирования Web-приложения
, ,

Во время тестирования Web-приложения и поиска уязвимостей в нём очень важно придерживаться некоторой методологии, иначе вы можете упустить что-нибудь важное. Чем крупнее приложение, тем важнее систематизированный подход.

Читать далее Методология тестирования Web-приложения

Прохождение test-me.pp.ru — WAF bypass
, , ,

Добрый день, уважаемый читатель. Представляю твоему вниманию тренировочную площадку http://test-me.pp.ru/ по обходу WAF (WAF bypass) созданную ребятами с Античата. Cостоит она из шести уровней на SQL-инъекции и уязвимости SiXSS (Sql Injection Сross Site Scripting).

Читать далее Прохождение test-me.pp.ru — WAF bypass

Перевод OWASP Testing Guide. Часть 3.4.
,

Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о выявлении пользователей.

Предыдущие статьи
  1. Тестирование: введение и задачи
  2. Сбор информации с помощью поисковых систем
  3. Определение веб-сервера
  4. Поиск информации в метафайлах веб-сервера
  5. Определение веб-приложений на сервере
  6. Поиск утечек информации в комментариях и метаданных
  7. Определение точек входа веб-приложения
  8. Составление карты веб-приложения
  9. Определение фреймворка веб-приложения
  10. Определение веб-приложения
  11. Составление карты архитектуры веб-приложения
  12. Тестирование конфигурации инфраструктуры веб-приложения
  13. Изучение расширений файлов
  14. Поиск страрых версий веб-приложения, скрытых файлов и резервных копий
  15. Поиск административных интерфейсов
  16. Тестирование HTTP методов
  17. Тестирование HSTS
  18. Тестирование кросс-доменной политики
  19. Изучение ролей пользователей
  20. Тестирование процесса регистрации
  21. Предоставление учетных записей
  22. Определение имен пользователей

[свернуть]

Читать далее Перевод OWASP Testing Guide. Часть 3.4.

Перевод OWASP Testing Guide. Часть 3.3.
,

Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет об определении пользователей.

Предыдущие статьи

Читать далее Перевод OWASP Testing Guide. Часть 3.3.

Перевод OWASP Testing Guide. Часть 3.2.
,

Представляю вашему вниманию очередную часть перевода OWASP Testing Guide. В данной статье речь пойдет о предоставлении учетных записей.


Читать далее Перевод OWASP Testing Guide. Часть 3.2.

Jira как часть SIEM системы на базе Splunk
, ,

В данной статье будет рассмотрены варианты взаимодействия Splunk (платформа для сбора данных из различных источников) и Jira (система управления задачами и проектами).

Читать далее Jira как часть SIEM системы на базе Splunk

Template Injection: Server Side
, ,

Есть такой вид атак, как Template Injection (Внедрение шаблона). Данный вид атак делится на два вида: Server Side Template Injection (SSTI) и Client Side Template Injection(CSTI). В данной статье мы рассмотрим SSTI, а в следующей — CSTI.

Читать далее Template Injection: Server Side