Небольшой и полезный гайд, который познакомит вас с REST-API и методиками его взлома: от точки входа до полной компрометации
https://aacle.notion.site/API-Hacking-RESTful-API-a18d3ec6b8304dc4867ec255914e4c77
#web #pentest #cheatsheet
Please open Telegram to view this post
VIEW IN TELEGRAM
Abhishek's Notion on Notion
API Hacking- RESTful API | Notion
API Provides a way for applications to use the functionality and data for application to use the functionality and data of other applications over HTTP to feed a web application GUI with images, tests, and videos.
👍7❤1🔥1
Исчерпывающее руководство по эксплуатации SQL-инъекций и методикам их нахождения
https://defcon.ru/web-security/2784/
#web #pentest #cheatsheet
Please open Telegram to view this post
VIEW IN TELEGRAM
DefconRU
Шпаргалка по SQL инъекциям
Шпаргалка по SQL-инъекциям создана для сводного описания технических особенностей различных типов уязвимостей SQL-injection. В статье представлены особенности проведения SQL-инъекций в MySQL, Microsoft SQL Server, ORACLE и PostgreSQL.
🔥5❤2❤🔥1
#cve #web #itnews #infosec
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔6👏2😁1
Подготовили для вас статью, посвящённую разбору бага, найденного нашим исследователем на Bug Bounty Cloud Tips
https://habr.com/ru/articles/775814/
#web #pentest #byapsecurity #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Bug Bounty CloudTips. Account takeover или IDOR. История одной уязвимости
Привет, Хабр, с Вами команда лаборатории кибербезопасности AP Security! Следующая статья расскажет одну историю о том, как был найден баг в программе CloudTips от Тинькофф....
👍7🔥4❤3
XSS Exploitation Tool — это инструмент для тестирования на проникновение,созданный с целью выявления уязвимостей межсайтового скриптинга
Получаемая информация:
http://www.kitploit.com/2023/06/xss-exploitation-tool-xss-exploitation.html
#web #tools #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
KitPloit - PenTest & Hacking Tools
XSS-Exploitation-Tool - An XSS Exploitation Tool
👍7❤3🔥1
Вкатываешься в Bug Bounty или ищешь дополнительные возможности в охоте за багами?
Следующая статья включает в себя большой гайд, рассматривающий пул знаний, необходимый для результативной работы, и подкреплённый достаточным количеством инструментов для поиска уязвимостей
https://blog.securitybreached.org/2023/08/18/bug-bounty-blueprint-a-beginners-guide/
#web #pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Security Breached Blog
Bug Bounty Blueprint: A Beginner's Guide
This guide is a must-read for beginners to dive into Bug Bounty Hunting. It provides foundational skills, tips, tools, and resources for Bug Bounty Hunters. I've covered various aspects including vulnerabilities and learning resources. Are you ready to embark…
👍5❤2🔥1
#itnews #infosec #web
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥2🤔2🍌1
PT-devteev-Advanced-SQL-Injection.pdf
1.1 MB
Материал от Positive Technologies, который расскажет в каких случаях возникает такая уязвимость, как это эксплуатировать и как защищаться
#web #pentest #sqlinjection
Please open Telegram to view this post
VIEW IN TELEGRAM
🤝4👎3🔥3❤🔥2
#web #pentest
PMB <=7.5.3 - Удаленное выполнение кода через загрузку произвольных файлов (CVE-2023-46474)🏇
Скрипт pmb/admin/convert/start_import.php подвержен уязвимости Unrestricted File Upload, которая позволяет выполнить произвольный код на сервере.
Для использования этого функционала злоумышленник сначала должен получить административный доступ к платформе.
➡️ PHP-скрипт не проверяет расширение файла, загруженного пользователем, и сохраняет его в директории, доступной веб-серверу, включая и его расширение. Таким образом, можно загрузить PHP-скрипт, а затем выполнить его, зайдя в то место, куда он был загружен.
В качестве примера на скриншотах ниже отправляется файл .php, содержащий код, который необходимо запустить в системе ( в примере это id). Наблюдая за ответом, можно получить имя файла, поскольку он только что был записан на сервер.
Чтобы выполнить код, просто откройте в браузере файл /pmb/temp/[filename].php.
Причиной уязвимости является отсутствие контроля расширений файлов перед записью.
В версии 7.5.4 уязвимый скрипт был полностью переписан
PMB <=7.5.3 - Удаленное выполнение кода через загрузку произвольных файлов (CVE-2023-46474)
Скрипт pmb/admin/convert/start_import.php подвержен уязвимости Unrestricted File Upload, которая позволяет выполнить произвольный код на сервере.
Для использования этого функционала злоумышленник сначала должен получить административный доступ к платформе.
В качестве примера на скриншотах ниже отправляется файл .php, содержащий код, который необходимо запустить в системе ( в примере это id). Наблюдая за ответом, можно получить имя файла, поскольку он только что был записан на сервер.
Чтобы выполнить код, просто откройте в браузере файл /pmb/temp/[filename].php.
Причиной уязвимости является отсутствие контроля расширений файлов перед записью.
В версии 7.5.4 уязвимый скрипт был полностью переписан
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥5❤🔥2
#byapsecurity #web #pentest
Используем SSTI для обхода песочницы🏃
Лаборатория кибербезопасности и инновационных технологий компании AP Security подготовила для вас новую статью, которая расскажет как работает уязвимость SSTI и как злоумышленник может использовать ее для своих целей
Приятного прочтения📌
Хабр
Используем SSTI для обхода песочницы
Лаборатория кибербезопасности и инновационных технологий компании AP Security подготовила для вас новую статью, которая расскажет как работает уязвимость SSTI и как злоумышленник может использовать ее для своих целей
Приятного прочтения
Хабр
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Эксплуатируем уязвимость внедрения шаблонов на стороне сервера в обход песочницы
Привет, Хабр, на связи лаборатория кибербезопасности компании AP Security! Сегодня речь пойдет о том, как можно использовать уязвимость внедрения шаблонов на стороне сервера (SSTI), когда сервер...
❤7👍3🔥3