नमूना वास्तविक प्रवेश परीक्षण रिपोर्ट

मेरी थीसिस के हिस्से के रूप में, मुझे ASP.NET का उपयोग करके लिखे गए वाणिज्यिक वेब एप्लिकेशन का पूर्ण प्रवेश परीक्षण करने का अवसर मिला। मेरे शोध का परिणाम एक रिपोर्ट है, जिसे मैंने लोगों की एक व्यापक श्रृंखला के साथ "छायांकित" रूप में साझा करने का फैसला किया है। हमारी मूल भाषा में इस प्रकार की सामग्री एक दुर्लभ वस्तु है। वास्तव में, केवल एक ही मैं जनता के लिए उपलब्ध उन लोगों से पता है sekuraka टीम से आता है-SEKURAK
सैम भी दृढ़ता से अंग्रेजी में रिपोर्ट लिखना पसंद करते हैं, क्योंकि पेशेवर नामकरण और इसके अनुवाद के साथ जुड़े समस्याओं की ।

आवेदन अलग अनुमतियों के साथ दो भूमिकाओं का उपयोग कर परीक्षण किया गया था – क्लासिक प्रशासक और नियमित उपयोगकर्ता। आवेदन में कमजोरियों का पता लगाया गया है, जिसमें शामिल हैं: • सर्वर का नियंत्रण लेना; • किसी भी उपयोगकर्ता खाते का नियंत्रण लेना; • संवेदनशील उपयोगकर्ता डेटा
पढ़ना; • फ़िशिंग हमलों को अंजाम देने के लिए आवेदन का उपयोग


करना;

संवेदनशीलता का पता चला

सर्वर पर स्थानांतरित फ़ाइलों को मान्य नहीं करने की संवेदनशीलता का शोषण करके प्राप्त क्लासिक खोल के अलावा, मेरे पास उपयोगकर्ताओं के पासवर्ड को रीसेट करने के तंत्र से संबंधित त्रुटि के लिए एक विशेष "सहानुभूति" है। आवेदन ने एक सुरक्षा टोकन उत्पन्न किया जिसे सर्वर की ओर प्रक्रिया के बाद के चरण में मान्य नहीं किया गया था। इसके परिणामस्वरूप किसी भी उपयोगकर्ता के पासवर्ड को रीसेट करने की क्षमता हुई और इस प्रकार उनके खाते को हाइजैक कर लिया गया।

नीचे रिपोर्ट लिंक पर डाउनलोड करने के लिए पूरी रिपोर्ट

Chcesz wiedzieć więcej?

Zapisz się i bądź informowany o nowych postach (zero spamu!).
Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.

Nigdy nie podam, nie wymienię ani nie sprzedam Twojego adresu e-mail. W każdej chwili możesz zrezygnować z subskrypcji.

Bookmark the permalink.

Podziel się swoją opinią na temat artykułu