Свежие записи

Most Used Categories

Пост-эксплуатация

#4 Основы Weevely – используем Shell-команды. Пост-эксплуатация.

Просмотров: 165

Здравствуйте, дорогие друзья. В данном уроке мы рассмотрим, как работать с Weevely.

Я подключусь к нашему шеллу, с помощью команды «weevely http://192.168.15.131/dvwa/vulnerabilities/shell.php 123456»:

Итак, мы внутри, и первоначально выполним команду «:help»:

И мы видим все команды (функции), которые можно …

by Timcore1 Min Reading
Пост-эксплуатация

#3 После атаки. Переходим из обратной оболочки (reverse shell) в Shell Weevely (оболочку Weevely).

Просмотров: 81

Здравствуйте, дорогие друзья. Я уже упоминал Вам об инструменте, который называется Weevely, и если мы внедрим шелл Weevely на целевой веб-сервер, то мы сможем использовать различные полезные команды.

В этом уроке мы рассмотрим, как преобразовать простой шелл, в шелл Weevely. …

by Timcore1 Min Reading
Пост-эксплуатация

#2 Работаем c обратным шеллом (reverse shell). Пост-эксплуатация.

Просмотров: 385

Сейчас у нас есть полноценный bash shell, и мы можем запускать различные команды:

Я не буду рассматривать некоторые команды, так как Вы их уже знаете, но покажу несколько полезных команд, которые уместны в данной ситуации. Здесь все зависит от страницы, …

by Timcore1 Min Reading
Пост-эксплуатация

#1 После атаки. Пост-эксплуатация.

Просмотров: 151

Здравствуйте, дорогие друзья.

Остановимся на обратном шелле и в последующих уроках мы будем работать с обратным шеллом weevely, и я покажу Вам, что можно делать, получив доступ к целевому веб-серверу.

И начнем мы с обратного шелла, поскольку он не дает …

by Timcore1 Min Reading
OWASP ZAP

#2 OWASP ZAP. Анализ результатов сканирования.

Просмотров: 297

Здравствуйте, дорогие друзья. После сканирования целевого веб-сайта, нужно проанализировать его. Этим мы и будем заниматься в данном небольшом уроке.

Сканирование на данном этапе в процессе. Вам нужно подождать какое-то время, чтобы дождаться результатов, а я продолжу рассматривать наш сайт.

Обратите …

by Timcore1 Min Reading
OWASP ZAP

#1 OWASP ZAP. Сканирование веб-сайта на наличие уязвимостей.

Просмотров: 1 491

Здравствуйте, дорогие друзья. Мы с Вами уже умеем проверять веб-приложения вручную «ручками». Их достаточное количество, и мы знаем, как они работают, и как их использовать.

В данном уроке я познакомлю Вас с инструментом, который можно использовать для автоматической проверки веб-приложений. …

by Timcore1 Min Reading
CSRF - Cross Site Request Forgery, Безопасность | Security

#4 Безопасность — Закрываем уязвимости CSRF.

Просмотров: 114

Здравствуйте, дорогие друзья. Теперь, когда мы знаем, как использовать уязвимости CSRF, можем поговорить о том, как защитить веб-сайты от этих уязвимостей.

Если мы вернемся к DVWA, и установим высокий уровень безопасности, мы убедимся, что здесь используется очень простой способ работы, …

by Timcore1 Min Reading
CSRF - Cross Site Request Forgery, Уязвимости

#3 Используем уязвимости CSRF для смены пароля администратора с помощью ссылки.

Просмотров: 215

Здравствуйте, дорогие друзья. В предыдущих уроках мы с Вами создавали веб-страницу, которая использует CSRF уязвимость, и автоматически отправляет форму. Мы видели, как мы можем использовать эту уязвимость, которая незаметна для самой цели, и как только этот файл будет открыт, форма …

by Timcore1 Min Reading
CSRF - Cross Site Request Forgery

#2 Использование уязвимости CSRF для смены пароля администратора.

Просмотров: 85

Здравствуйте, дорогие друзья. Продолжаем рассматривать уязвимость CSRF, и страница, которую мы создали, не очень подходит нам, потому что она запрашивает пароль для смены, и пользователь все еще выбирает, какой пароль установить.

Нам нужно изменить код страницы, и так, чтобы при …

by Timcore1 Min Reading
CSRF - Cross Site Request Forgery

#1 Что такое Cross Site Request Forgery (CSRF)?

Просмотров: 263

Здравствуйте, дорогие друзья. Рассмотрим межсайтовую подделку запроса, или (CSRF). Это уязвимости позволяют заставлять пользователя делать то, чего он не хочет.

К примеру, возьмем профиль аккаунта Вконтакте, где мы можем делать самые разные манипуляции, начиная со смены аватарки, и завершая сменой …

by Timcore1 Min Reading