Skip to main content

Взлом Web приложений

Фаззинг

Fuff FFUF легко адаптируется к внешнему инструментарию. Подставляет наборы из словарей в соответ...

Направления

Способы атаки Как ведет приложение при запросах отсутствующих страниц? Список существующих en...

Тестовые стенды

OWASP Juice Shop Образ docker https://hub.docker.com/r/bkimminich/juice-shop  # Запуск последней...

Уязвимости механизмов авторизации

Классификация по типам проверки подлинности: Знание (пароль или ответ на вопрос безопасности, ...

Уязвимости инъекции команд ОС

Инъекция команд ОС (shell инъекция) позволяет выполнять произвольные команды ОС на сервере, и обы...

Уязвимости контроля доступа

Варианты: Аутентификация идентифицирует пользователя и подтверждает, что он является тем, за к...

Файлы и каталоги

Обход файловых путей (англ. Path Traversal или Directory Traversal) – это уязвимость веб-безопасн...

SQL-инъекции

Позволяет вмешиваться в запросы, которые приложение делает к своей базе данных. В частности, могу...

Внедрение внешних сущностей XML

Внешние сущности XML — это тип пользовательских сущностей XML, определенные значения которых загр...

Межсайтовый скриптинг (XSS)

Уязвимость, позволяющая скомпрометировать взаимодействие пользователей с уязвимым приложением. Он...

Burp

Открытые курсы по Burp от разработчиков. Структура сканера Процесс прохождения пакета и точки н...

Nikto, nuclei и др.

Коммерческие: acunetix netsparker IBM AppScan WebInspect Бесплатные: OWASP Zap W3af ...

HTTP request smuggling

Внедрение в последовательность http запросов. Может быть критичной для HTTP/1, может работать и д...