Сезон распродаж

Дисклеймер гласит, что вся информация представлена исключительно в образовательных целях, все запросы выполняются к имитациям систем, все данные выдуманы, все совпадения случайны.

Удивительно, сколько проблем может сгенерировать один и тот же элемент бизнес-логики веб-приложения. В прошлый раз форма ввода номера скидочной карты позволила в теории собрать данные о пользователях программы лояльности спортивной торговой сети. Сегодня же мы препарируем сайт интернет-ретейлера одежды (естественно, вымышленного), где решили просто — форма призвана давать клиенту скидку и она с этой задачей справляется. Посмотрим на это чуть пристальнее остальных.

Читать далее Сезон распродаж

Финальный апдейт по стажировке Positive Technologies

Со времён предыдущего апдейта прошли следующие вебинары:

  • SSRF и HTTP Response Splitting;
  • Основы Reverse Engineering;
  • Computer Forensics, хотя я бы назвал его Incident Response;
  • OSINT и социальная инженерия.

Все эти вебинары объединяет то, что они очень интересные и к ним не прилагалось никакого практического задания, так что не будем заострять на них внимание. Главная тема — итоговый квест, который завершил всю стажировку.

Читать далее Финальный апдейт по стажировке Positive Technologies

Шестой апдейт по стажировке Positive Technologies

На шестом вебинаре нас познакомили с довольно громкой и весьма крутой атакой под названием XML External Entity или кратко — XXE. Признаться, до вебинара я так и не успел на практике ознакомиться с атакой даже в совсем уж сферических лабораторных условиях, тем интереснее было ковыряться. Суть атаки подробно расписывать не стану, ознакомиться можно на сайте OWASP. В самой простой форме выглядит так:

Читать далее Шестой апдейт по стажировке Positive Technologies

Пятый апдейт по стажировке Positive Technologies

Пятый вебинар был посвящён уязвимостям в бизнес-логике приложений. На вебинаре всех посвятили в «Секту Свидетелей Драматического Отличия Авторизации От Аутентификации И Их Обоих От Идентификации«.

Читать далее Пятый апдейт по стажировке Positive Technologies

Четвёртый апдейт по стажировке Positive Technologies

Четвёртый вебинар, посвящённый уязвимостям мобильных приложений, был категорически интересным. Но интереснее вебинара было домашнее задание, которого пришлось ждать больше двух недель, но оно того стоило. Впрочем, обо всём по порядку.

Читать далее Четвёртый апдейт по стажировке Positive Technologies