веб-уязвимости

Купон на скидку применяется один раз. Так написано в ТЗ, так реализовано в коде, так проходит QA. А потом кто-то отправляет двадцать одинаковых POST-запросов в одном TCP-пакете - и купон применяется двадцать раз. Баланс уходит в минус, товар отгружается бесплатно, а в журналах всё выглядит как...

Ввдение Всем привет, любителям кибербезопасности! Я понимаю, что вы начитались много умных книжек, много умных видео и статей начитались, касательно информационной безопасности. Но встал вопрос... А как взламывать? Ну т.е как начать действительно взламывать сайты или приложения. Существуют...

IP: 62.173.140.174:16077 Работаем через Burp Pro 1) Заходим на сайт, видим форму. По классике пробуем ввести admin admin (Ничего не выходит) 2) Регистрируемся с любыми данными (Например: test test) 3) Заходим в ученую запись. 4) Переходим в Admin panel и забираем флаг CODEBY{F4K3_FL4G}...

Поехали IP: 62.173.140.174:16085 Как всегда все делаем через наш любимый Burp Pro 1) Открываем сайт ничего не обычного, пробуем ввести admin admin посмотреть, что и как работет Получаем пользователь такой существует и пароль не верный 2) Переходим на вкладку Create Account Создаем новую...

В некоторых тасках пишется не оформлять райтап на новые задания. Дабы не нарушать концепцию площадки Так как не увидел данного сообщения, полагаю можно оформить, дабы не нарушать традиции площадки) После окончания обучения Специалист по тестированию на проникновение в информационные системы...

В данном райтапе речь пойдет о таске Цирковой трюк из категории веб. Приложение банальное, есть форма авторизации, через которое нам нужно попасть на правах администратора. Открываем код и находим интересные вещи: <?php ini_set('display_errors', '1'); ini_set('display_startup_errors', '1')...

Добрый день коллеги продолжаем по традиции райты по таску писать. На этот раз ну "очень легкий таск", я так думал!!! Забегая на будущее обращаюсь к админам - сделайте таск проще!!! по крайней мере в получении секретки, не известно в каком списке угнанных паролей искать!!! Прошу написать в...

Межсайтовый скриптинг (Cross-Site Scripting, XSS) – это коварная и, к сожалению, распространенная веб-уязвимость, которая позволяет злоумышленникам внедрять вредоносный код в ваш сайт. Этот код затем выполняется в браузерах ваших посетителей, что может привести к краже личных данных, угону...

Цель фаззинга: Предметом интереса являются падения и зависания, нарушения внутренней логики и проверок в коде приложения, утечки памяти, вызванные такими данными на входе. Фаззинг является разновидностью выборочного тестирования (random testing), часто используемого для проверки проблем...

Привет всем! Продолжаем разбирать актуальные вопросы студентов курса WAPT. Несмотря на полный запрет использования средств автоматизации в ходе обучения, ученики нет-нет, да задают вопрос, а можно ли использовать, например, sqlmap, если решил таск вручную. В принципе, такой вариант вполне...

Если вы являетесь пользователем Windows, то обратитесь к статье “Как запустить sqlmap на Windows“. А если вы обнаружили уязвимости в ваших скриптах, то обратитесь к статье “Защита сайта от взлома: предотвращение SQL-инъекций“. Каждый раз, рассказывая об очередной программе, присутствующей в...