Авторизация и аутентификация web-приложений (for example python Flask)
Запланировал разобрать аутентификацию и авторизацию веб-приложений на примере Flask. Это первая часть из моей серии, т.к информации достаточно много и я стараюсь правильно ее распределить. Я сам если честно не люблю тонны скучных определений, поэтому постараюсь донести свои мысли более-менее интересно (не факт) Но все же теория - основа доказательства (только что придумал) и блин, я не понимаю откуда мое непреодолимое желание ставить скобки)). Итак, если кратко, то в этой части хочу разобрать что вообще такое Фласк (если кто не знаком), для чего используются печеньки и сессии в веб-приложениях, запустить свое приложение для тестов и примеров.
📌 Читать далее
#programming #python #web
Запланировал разобрать аутентификацию и авторизацию веб-приложений на примере Flask. Это первая часть из моей серии, т.к информации достаточно много и я стараюсь правильно ее распределить. Я сам если честно не люблю тонны скучных определений, поэтому постараюсь донести свои мысли более-менее интересно (не факт) Но все же теория - основа доказательства (только что придумал) и блин, я не понимаю откуда мое непреодолимое желание ставить скобки)). Итак, если кратко, то в этой части хочу разобрать что вообще такое Фласк (если кто не знаком), для чего используются печеньки и сессии в веб-приложениях, запустить свое приложение для тестов и примеров.
📌 Читать далее
#programming #python #web
👍13🔥2🤯2
Расширение HackBar для Burp Suite и для браузеров
Доброго времени суток, уважаемые форумчане! Сегодня мы рассмотрим очень полезный инструмент, который должен здорово помочь ученикам при прохождении курса WAPT. Он не относится к разряду средств автоматизации, а потому разрешен в процессе обучения и сдачи экзамена. Это HackBar. В сети можно найти достаточно материала по этому инструменту и очень сложно быть оригинальным в этом вопросе, поэтому я решил рассмотреть все его возможные вариации на нескольких практических примерах. Будем крутить union-based sql-инъекцию. Хотя инструмент способен помочь в эксплуатации различных уязвимостей, таких как XXE, XXS, LFI, RFI, а также поможет обходить фильтрацию, имеет встроенный кодировщик и ряд других функций. Короче, очень удобный инструмент для веб-пентеста. По сути, в него зашито большое количество пейлоадов на все случаи жизни, которые вы можете подставлять в уязвимые места. Это должно сэкономить массу времени и исключить возможные ошибки при наборе запросов.
📌 Читать далее
#pentest #web #sqlmap
Доброго времени суток, уважаемые форумчане! Сегодня мы рассмотрим очень полезный инструмент, который должен здорово помочь ученикам при прохождении курса WAPT. Он не относится к разряду средств автоматизации, а потому разрешен в процессе обучения и сдачи экзамена. Это HackBar. В сети можно найти достаточно материала по этому инструменту и очень сложно быть оригинальным в этом вопросе, поэтому я решил рассмотреть все его возможные вариации на нескольких практических примерах. Будем крутить union-based sql-инъекцию. Хотя инструмент способен помочь в эксплуатации различных уязвимостей, таких как XXE, XXS, LFI, RFI, а также поможет обходить фильтрацию, имеет встроенный кодировщик и ряд других функций. Короче, очень удобный инструмент для веб-пентеста. По сути, в него зашито большое количество пейлоадов на все случаи жизни, которые вы можете подставлять в уязвимые места. Это должно сэкономить массу времени и исключить возможные ошибки при наборе запросов.
📌 Читать далее
#pentest #web #sqlmap
👍15❤3😍3
Создаём беспалевный web-shell и испытываем в боевых условиях
В один прекрасный день мне вдруг захотелось написать свой web-shell. Зачем же изобретать велосипед? Практика показала, что немалая часть из популярных веб-шеллов имеют на борту стучалки/звонилки, и прочие нехорошие внедрения. Правда в погоне за функционалом, встречается и избыточность, например в b374k куча вкладок из того что есть в phpinfo. Также большая часть веб-шеллов написана в 2004-2006 годах, и имеют устаревшие или нерабочие фичи.
📌 Читать далее
#programming #web #shell
В один прекрасный день мне вдруг захотелось написать свой web-shell. Зачем же изобретать велосипед? Практика показала, что немалая часть из популярных веб-шеллов имеют на борту стучалки/звонилки, и прочие нехорошие внедрения. Правда в погоне за функционалом, встречается и избыточность, например в b374k куча вкладок из того что есть в phpinfo. Также большая часть веб-шеллов написана в 2004-2006 годах, и имеют устаревшие или нерабочие фичи.
📌 Читать далее
#programming #web #shell
👍8🔥5😍1
Что хранят в себе скрытые файлы и папки на веб-сервере? Часть I
Доброго времени суток! Сегодня я хочу рассказать, что содержат в себе скрытые папки и файлы на веб-сервере. Скрытые файлы и директории, которые оставляют на веб сервере, могут иметь важную, конфиденциальную информацию. Веб-сервер может содержать много скрытой информации. Давайте взглянем на все это более детально, что бы узнать какую информацию можно найти.
📌 Читать далее
#beginner #web #information
Доброго времени суток! Сегодня я хочу рассказать, что содержат в себе скрытые папки и файлы на веб-сервере. Скрытые файлы и директории, которые оставляют на веб сервере, могут иметь важную, конфиденциальную информацию. Веб-сервер может содержать много скрытой информации. Давайте взглянем на все это более детально, что бы узнать какую информацию можно найти.
📌 Читать далее
#beginner #web #information
👍11🔥5🏆1
Авторизация и аутентификация web-приложений (for example python Flask)
Запланировал разобрать аутентификацию и авторизацию веб-приложений на примере Flask. Это первая часть из моей серии, т.к информации достаточно много и я стараюсь правильно ее распределить. Я сам если честно не люблю тонны скучных определений, поэтому постараюсь донести свои мысли более-менее интересно (не факт) Но все же теория - основа доказательства (только что придумал) и блин, я не понимаю откуда мое непреодолимое желание ставить скобки)). Итак, если кратко, то в этой части хочу разобрать что вообще такое Фласк (если кто не знаком), для чего используются печеньки и сессии в веб-приложениях, запустить свое приложение для тестов и примеров.
📌 Читать далее
#programming #python #web
Запланировал разобрать аутентификацию и авторизацию веб-приложений на примере Flask. Это первая часть из моей серии, т.к информации достаточно много и я стараюсь правильно ее распределить. Я сам если честно не люблю тонны скучных определений, поэтому постараюсь донести свои мысли более-менее интересно (не факт) Но все же теория - основа доказательства (только что придумал) и блин, я не понимаю откуда мое непреодолимое желание ставить скобки)). Итак, если кратко, то в этой части хочу разобрать что вообще такое Фласк (если кто не знаком), для чего используются печеньки и сессии в веб-приложениях, запустить свое приложение для тестов и примеров.
📌 Читать далее
#programming #python #web
🔥8👍3❤2🥴2
Защита Apache, Nginx и IIS
Наверняка вы периодически слышите словосочетание веб-сервер или название любой технологии из заголовка статьи. Все нынешние веб-сайты работают по технологии клиент - сервер. В роли клиента выступает ваш браузер, а роли сервера удаленный компьютер. Ни для кого ни секрет, что браузер общается с сайтом на языке HTTP запросов. С браузером все понятно, он умеет обрабатывать эти запросы, но как удаленный сервер прочитает запрос и в целом как он будет выстраивать общение с клиентом? Ответ прост - веб-сервер.
📌 Читать далее
#security #network #web
Наверняка вы периодически слышите словосочетание веб-сервер или название любой технологии из заголовка статьи. Все нынешние веб-сайты работают по технологии клиент - сервер. В роли клиента выступает ваш браузер, а роли сервера удаленный компьютер. Ни для кого ни секрет, что браузер общается с сайтом на языке HTTP запросов. С браузером все понятно, он умеет обрабатывать эти запросы, но как удаленный сервер прочитает запрос и в целом как он будет выстраивать общение с клиентом? Ответ прост - веб-сервер.
📌 Читать далее
#security #network #web
👍8🔥3
PHP уязвимости
Уязвимость PHP injection – одна из распространенных скриптовых уязвимостей, которая встречается в приложениях, написанных на PHP языке. Заключается в исполнении постороннего кода на стороне сервера.
Рассказали в статье про:
✔️ Информацию об уязвимости
✔️ Эксплуатацию PHP Injection через RFI
✔️ Другие методы эксплуатации уязвимости
📌 Читать далее
#forum #web #php
Уязвимость PHP injection – одна из распространенных скриптовых уязвимостей, которая встречается в приложениях, написанных на PHP языке. Заключается в исполнении постороннего кода на стороне сервера.
Рассказали в статье про:
✔️ Информацию об уязвимости
✔️ Эксплуатацию PHP Injection через RFI
✔️ Другие методы эксплуатации уязвимости
📌 Читать далее
#forum #web #php
👍14🔥6❤4
XXE уязвимости
XML External Entity (XXE) – это тип атаки, использующий уязвимости в анализаторах XML. При атаке XXE можно внедрить специально созданный XML-контент в приложение, которое его обрабатывает.
В этой статье:
✔️Рассказали о типах XXE
✔️На практике подробно рассмотрели данную атаку
📌 Читать далее
#forum #web #xxe
XML External Entity (XXE) – это тип атаки, использующий уязвимости в анализаторах XML. При атаке XXE можно внедрить специально созданный XML-контент в приложение, которое его обрабатывает.
В этой статье:
✔️Рассказали о типах XXE
✔️На практике подробно рассмотрели данную атаку
📌 Читать далее
#forum #web #xxe
🔥7👍3
Создаём беспалевный web-shell и испытываем в боевых условиях
Всем привет, друзья!
В один прекрасный день мне вдруг захотелось написать свой web-shell. Зачем же изобретать велосипед? Практика показала, что немалая часть из популярных веб-шеллов имеют на борту стучалки/звонилки, и прочие нехорошие внедрения. Правда в погоне за функционалом, встречается и избыточность, например в b374k куча вкладок из того что есть в phpinfo. Также большая часть веб-шеллов написана в 2004-2006 годах, и имеют устаревшие или нерабочие фичи.
📌 Читать далее
#programming #web #shell
Всем привет, друзья!
В один прекрасный день мне вдруг захотелось написать свой web-shell. Зачем же изобретать велосипед? Практика показала, что немалая часть из популярных веб-шеллов имеют на борту стучалки/звонилки, и прочие нехорошие внедрения. Правда в погоне за функционалом, встречается и избыточность, например в b374k куча вкладок из того что есть в phpinfo. Также большая часть веб-шеллов написана в 2004-2006 годах, и имеют устаревшие или нерабочие фичи.
📌 Читать далее
#programming #web #shell
👍12❤5🔥3😁2
Информативная картинка о том, как работает LFI и что это такое.
#LFI #Web #Picture
➡️ Все наши каналы 💬 Все наши чаты ⚡️ Для связи с менеджером
#LFI #Web #Picture
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥13❤8
SQLMutant
SQLMutant — это инструмент для тестирования SQL-инъекций, включающий как пассивные, так и активные процессы разведки для любого заданного домена. Он фильтрует URL-адреса, чтобы выявить те, параметры которых подвержены SQL-инъекциям, а затем выполняет атаки с использованием инъекций. Эти атаки включают сопоставление шаблонов, анализ ошибок и атаки по времени.
📕 Характиристика:
1️⃣ URL Fuzzer - Эта функция позволяет пользователю указать целевой URL-адрес, а затем выполнить фаззинговую атаку для обнаружения любых уязвимых параметров, которые могут быть использованы для SQL-инъекций.
2️⃣ SQL Payloads - SQLMutant предоставляет набор предопределенных полезных нагрузок для SQL-инъекций, которые можно использовать для проверки наличия уязвимостей.
3️⃣ Header Fuzzer - Эта функция позволяет пользователю фаззингировать HTTP-заголовки для проверки на наличие уязвимостей SQL-инъекций.
4️⃣ Waybackurls Integration - В SQLMutant интегрирован инструмент Waybackurls, используемый для поиска исторических версий веб-страницы. Эта функция позволяет находить страницы, которые больше недоступны, но могут содержать уязвимости, существовавшие в прошлом.
5️⃣ Arjun Integration - SQLMutant также интегрирует инструмент Arjun, который используется для поиска скрытых параметров и каталогов на веб-сервере.
💻 Установка:
Лучше добавить эти команды в ~/.bashrc
📌 Запуск:
#tools #web #SQL
➡️ Все наши каналы 💬 Все наши чаты ⚡️ Для связи с менеджером
SQLMutant — это инструмент для тестирования SQL-инъекций, включающий как пассивные, так и активные процессы разведки для любого заданного домена. Он фильтрует URL-адреса, чтобы выявить те, параметры которых подвержены SQL-инъекциям, а затем выполняет атаки с использованием инъекций. Эти атаки включают сопоставление шаблонов, анализ ошибок и атаки по времени.
pip3 install uro --break-system-packages
sudo apt install golang-go
export GOPATH=$HOME/go
export PATH=$PATH:$GOPATH/bin
go install github.com/tomnomnom/waybackurls@latest
sudo apt-get install arjun
go install -v github.com/projectdiscovery/httpx/cmd/httpx@latest
sudo apt-get install jq toilet lolcat
git clone https://github.com/blackhatethicalhacking/SQLMutant.git
cd SQLMutant/
chmod +x SQLMutant.sh
./SQLMutant.sh
#tools #web #SQL
Please open Telegram to view this post
VIEW IN TELEGRAM
😱10😢7❤6👍6🔥4👎3🗿2😁1