Процесс тестирования
Описание процесса тестирования по типу Black-Box
ОБСУЖДЕНИЕ
Согласование условий сотрудничества и scope, который необходимо проверить, — *.ваш_сайт.com, только личный кабинет пользователя или просто ваш_сайт.com без wildcard. Также обсуждается способ оплаты, сроки выполнения работы, любые другие нюансы.
ПОДГОТОВКА
Сбор максимального количества информации о цели, поиск поддоменов в случае wildcard, проверка портов, тщательный фаззинг веб приложений, подготовка к тестированию.
ПОИСК & ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ
Проверка приложения на уязвимости в соответствии с OWASP top 10 и SANS top 25. «Escalation», эксплуатация или попытки сделать это (в случае неудачи будет описано в отчете).
АНАЛИЗ & СОЗДАНИЕ ОТЧЕТА
Создание отчёта со списком и описанием всех найденных уязвимостей. Если находка не являеться уязвимостью, но потенциально несет в себе угрозу или в будущем может превратиться в уязвимость, она тоже упоминаеться в отчёте. Классификация, присваивание уровня опасности, рекомендации по устранению багов. Способ получения отчёта и его оформление соответствует пожеланиям заказчика.
Последние blog посты
Статьи на тему информационной безопасности
Тестирование двухфакторной аутентификации и возможные варианты обхода
Еще до того, как я начал постигать сложную науку информационной безопасности, мне казалось, что 2FA аутентификация — это гарантированный способ защитить свой аккаунт и никакие «эти ваши хакеры» не смогут, скажем, увести[…]
Read moreКак я взломал компании, связанные с криптовалютой, и заработал на этом $60 000
Биткоин и криптовалюты в целом
у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum,курс на тот момент был по $1900 за btc и $89 за эфир.
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
Вот уже больше года я пользуюсь мессенджером Telegram: это удобно и, насколько мне казалось, полностью конфиденциально. Так как я исследователь безопасности web-приложений, то должен был проверить соответствующую версию приложения на уязвимости.
Read moreСвяжитесь со мной
Если у Вас есть вопросы, предложения, проблемы или Вы хотите сказать мне «Привет», просто используйте эту форму!