Процесс тестирования
Описание процесса тестирования по типу Black-Box
ОБСУЖДЕНИЕ
Согласование условий сотрудничества и scope, который необходимо проверить, — *.ваш_сайт.com, только личный кабинет пользователя или просто ваш_сайт.com без wildcard. Также обсуждается способ оплаты, сроки выполнения работы, любые другие нюансы.
ПОДГОТОВКА
Сбор максимального количества информации о цели, поиск поддоменов в случае wildcard, проверка портов, тщательный фаззинг веб приложений, подготовка к тестированию.
ПОИСК & ЭКСПЛУАТАЦИЯ УЯЗВИМОСТЕЙ
Проверка приложения на уязвимости в соответствии с OWASP top 10 и SANS top 25. «Escalation», эксплуатация или попытки сделать это (в случае неудачи будет описано в отчете).
АНАЛИЗ & СОЗДАНИЕ ОТЧЕТА
Создание отчёта со списком и описанием всех найденных уязвимостей. Если находка не являеться уязвимостью, но потенциально несет в себе угрозу или в будущем может превратиться в уязвимость, она тоже упоминаеться в отчёте. Классификация, присваивание уровня опасности, рекомендации по устранению багов. Способ получения отчёта и его оформление соответствует пожеланиям заказчика.
Статистика
Making internet safer day by day.
Уязвимостей найдено
статьи на тему infosec
клиентов
Последние blog посты
Статьи на тему информационной безопасности
Как я взломал компании, связанные с криптовалютой, и заработал на этом $60 000
Биткоин и криптовалюты в целом
у всех на слуху. Моё знакомство с криптовалютами произошло примерно 5 месяцев назад, именно тогда я начал инвестировать в bitcoin и ethereum,курс на тот момент был по $1900 за btc и $89 за эфир.
[BugBounty] Раскрытие 5 миллионов ссылок в приватные чаты Telegram и возможность редактирования любой статьи telegra.ph
Вот уже больше года я пользуюсь мессенджером Telegram: это удобно и, насколько мне казалось, полностью конфиденциально. Так как я исследователь безопасности web-приложений, то должен был проверить соответствующую версию приложения на уязвимости.
Read more
Делаем deface сайта с помощью XSS
Deface сайта можно сделать, если вы получили доступ к ftp, залили shell и тд, но также это можно сделать с помощью обычной XSS. В этой статье я расскажу, как использовать Stored XSS для того, чтобы изменить содержимое главной страницы сайта для того, чтобы массово воровать cookies у пользователей и выполнять редирект на свой сайт.
Read moreСвяжитесь со мной
Если у Вас есть вопросы, предложения, проблемы или Вы хотите сказать мне «Привет», просто используйте эту форму!