ATOR – Authentication Token Obtain and Replace – wtyczka Burp Suite do obsługi złożonych mechanizmów sesyjnych

Schemat działania wtyczki ATOR

Chodź narzędzie Burp Suite posiada wbudowany mechanizm obsługi sesji, coraz częściej spotykam się z sytuacjami, gdzie po prostu sobie nie radzi z utrzymaniem jej aktywnej. Jest to najczęściej spowodowane jednym z poniższych czynników: dynamiczne tokeny CSRF ukryte w różnych miejscach requestu; aplikacje oparte na JavaScript (React, Angular) i interfejsy API… Continue reading

Ukryte treści – czy wiesz czego szukać? Gotowy dobry słownik.

słowniki

Narzędzia służące do enumeracji takie jak DIRB wymagają do swojego działania specjalnie przygotowanego słownika zawierającego czasami setki tysięcy najpopularniejszych nazw folderów i plików. Technologie wykorzystywane w IT ciągle się zmieniają, a wraz z nimi ścieżki do pozornie ukrytych treści. Aby skutecznie przeprowadzać ataki polegające na enumeracji, trzeba takowy słownik ciągle… Continue reading

DIRB – znajdź ukryte treści na stronach

DIRB - znajdź ukryte treści na stronach

Niektóre treści na stronach internetowych są pozornie ukryte – to znaczy, że nie posiadając ich adresu nie jesteśmy w stanie się do nich dostać. Często są to jakieś pozostałości jeszcze z etapu tworzenia aplikacji – programista miał je później usunąć, ale zapomniał ¯\_(ツ)_/¯ . Z pomocą w odnalezieniu takich treści… Continue reading