Web security audits & Pre bug bounty testing

Качественные, тщательные и анонимные web security аудиты.

Процесс тестирования

Описание процесса тестирования по типу Black-Box

ОБСУЖДЕНИЕ

Согласование условий сотрудничества и scope, который необходимо проверить, — *.ваш_сайт.com, только личный кабинет пользователя или просто ваш_сайт.com без wildcard. Также обсуждается способ оплаты, сроки выполнения работы, любые другие нюансы.

ПОДГОТОВКА

Сбор максимального количества информации о цели, поиск поддоменов в случае wildcard, проверка портов, тщательный фаззинг веб приложений, подготовка к тестированию.

ПОИСК & ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ

Проверка приложения на уязвимости в соответствии с OWASP top 10 и SANS top 25. «Escalation», эксплуатация или попытки сделать это (в случае неудачи будет описано в отчете).

АНАЛИЗ & СОЗДАНИЕ ОТЧЕТА

Создание отчёта со списком и описанием всех найденных уязвимостей. Если находка не являеться уязвимостью, но потенциально несет в себе угрозу или в будущем может превратиться в уязвимость, она тоже упоминаеться в отчёте. Классификация, присваивание уровня опасности, рекомендации по устранению багов. Способ получения отчёта и его оформление соответствует пожеланиям заказчика.

Статистика

Making internet safer day by day.

Уязвимостей найдено

статьи на тему infosec

клиентов

Последние blog посты

Статьи на тему информационной безопасности

Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000

Биткоин и криптовалюты в целом
у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum,курс на тот момент был по $1900 за btc и $89 за эфир.

Read more

[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph

Вот уже больше года я пользуюсь мессенджером Telegram: это удобно и, насколько мне казалось, полностью конфиденциально. Так как я исследователь безопасности web-приложений, то должен был проверить соответствующую версию приложения на уязвимости.

Read more

Делаем deface сайта с помощью XSS

Deface сайта можно сделать, если вы получили доступ к ftp, залили shell и тд, но также это можно сделать с помощью обычной XSS. В этой статье я расскажу, как использовать Stored XSS для того, чтобы изменить содержимое главной страницы сайта для того, чтобы массово воровать cookies у пользователей и выполнять редирект на свой сайт.

Read more

Свяжитесь со мной

Если у Вас есть вопросы, предложения, проблемы или Вы хотите сказать мне «Привет», просто используйте эту форму!