burp suite

DOM Invader – automatyzacja wyszukiwania DOM XSS wraz z prototype pollution

przez Michał | 10 grudnia, 2022 - 7:23 pm |10 grudnia, 2022 Bezpieczeństwo IT, Przydasie

Chociaż nie jestem fanem przeglądarki wbudowanej w Burp Suite to ma ona chociaż jedną zaletę, dla której warto z niej czasami skorzystać. Jest nim wprowadzone w zeszłym roku rozszerzenie – „DOM Invader”. Służy ono do szybkiego i prostego wyszukiwania podatności typu DOM XSS. To, co w nim jest przełomowe, to… Continue reading →

HopLa – autouzupełnianie dla Burp Suite

przez Michał | 9 kwietnia, 2022 - 7:53 pm |9 kwietnia, 2022 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

Wystarczy jedna literówka i payload, który miał zadziałać, nie zadziała. Dobrze jeżeli zostanie to zauważone i poprawione. Nierzadko jednak pewnie w ten sposób dochodzi do sytuacji gdy jakaś podatność nie została wykryta. Kilka dni temu mój kolega Dawid podesłał mi wtyczkę do Burpa, która pomaga przeciwdziałać tego typu wpadkom. HopLa… Continue reading →

SAML Raider czyli polowanie na błędy w SSO na sterydach

przez Michał | 30 marca, 2022 - 10:48 pm |30 marca, 2022 Przydasie

Dodaj komentarz

Spoglądając na request poniżej może wydawać się, że jest on mało interesujący (pod kątem możliwych przy jego pomocy przeprowadzenia scenariuszy ataków). W rzeczywistości jest zupełnie odwrotnie. Jest to request zawierający security assertion markup language. Inaczej mówiąc jest to – ustandyryzowany xml, podpisany i ubrany w base64. Otwierając taki request przy… Continue reading →

Automatyczne wykrywanie dowolnego ciągu znaków (klucze api, hasła, komunikaty o błędach) – RegexFinder

przez Michał | 19 września, 2021 - 5:28 pm |19 września, 2021 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

BurpSuite mimo bycia najlepszym narzędziem do testów penetracyjnych web aplikacji, z jakim dane mi było pracować, posiada nadal obszary, do rozwoju. Niedawno został on uzupełniony w moduł „Logger”, który de facto działa tak samo co wtyczka „Flow” z której korzystam na codzie. Mianowicie archiwizuje cały ruch przechodzący przez proxy Burpa…. Continue reading →

Automatyzacja testów przesyłania plików – Upload Scanner

przez Michał | 30 maja, 2021 - 7:30 pm |2 kwietnia, 2022 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

„Unrestricted File Upload” czyli nieograniczone przesyłanie plików należy do mojej ulubionej grupy podatności aplikacji webowych. Spowodowane jest to tym, że jeżeli już uda mi się zlokalizować tego typu błąd bezpieczeństwa, prowadzi on najczęściej do zdalnego przejęcia kontroli nad serwerem. Skoro można przesyłać obrazki to dlaczego by nie spróbować przesłać na… Continue reading →

ATOR – Authentication Token Obtain and Replace – wtyczka Burp Suite do obsługi złożonych mechanizmów sesyjnych

przez Michał | 13 sierpnia, 2020 - 12:30 pm |13 sierpnia, 2020 Bezpieczeństwo IT, Przydasie

Dodaj komentarz

Chodź narzędzie Burp Suite posiada wbudowany mechanizm obsługi sesji, coraz częściej spotykam się z sytuacjami, gdzie po prostu sobie nie radzi z utrzymaniem jej aktywnej. Jest to najczęściej spowodowane jednym z poniższych czynników: dynamiczne tokeny CSRF ukryte w różnych miejscach requestu; aplikacje oparte na JavaScript (React, Angular) i interfejsy API… Continue reading →

Search for:


Cześć podróżniku!

Jestem Michał. Cyberbezpieczeństwo jest moją pasją i pracą. Hobbystycznie zajmuję się drukiem 3d. W ramach tej strony staram się dzielić się wiedzą właśnie z tych obszarów. Mam nadzieję, że znajdziesz tutaj przydatne dla siebie informacje :)
Więcej o mnie...

Subskrypcja
Otrzymaj listę 15 najbardziej przydatnych narzędzi przy testach penetracyjnych!
Zapisz się i bądź informowany o nowych wpisach (zero spamu! - tylko informacje o nowych artykułach). Dodatkowo otrzymasz, moją prywatną listę 15 najbardziej przydatnych narzędzi (wraz z krótkim opisem), których używam przy testach penetracyjnych.
Wspieraj tę stronę
Jeżeli podoba Ci się moja twórczość możesz mnie wesprzeć kawą :)

Subskrypcja

Wspieraj tę stronę