Automatyczne wykrywanie dowolnego ciągu znaków (klucze api, hasła, komunikaty o błędach) – RegexFinder

RegexFinder error message

BurpSuite mimo bycia najlepszym narzędziem do testów penetracyjnych web aplikacji, z jakim dane mi było pracować, posiada nadal obszary, do rozwoju. Niedawno został on uzupełniony w moduł „Logger”, który de facto działa tak samo co wtyczka „Flow” z której korzystam na codzie. Mianowicie archiwizuje cały ruch przechodzący przez proxy Burpa…. Continue reading

Tplmap – zidentefikuj i wykorzystaj silnik szablonu

tplmap-confirmed-injection

Gdy przeprowadzasz test penetracyjny strony internetowej, która generuje dynamiczne treści przy użyciu szablonów z wartościami podanymi przez użytkownika możesz natrafić na podatność typu Server-Side Template Injection. Ręczna identyfikacja silnika szablonu, z jaką masz do czynienia i późniejsza exploitacja może zostać w łatwy sposób zautomatyzowana przy pomocy narzędzia Tplmap. Tplmap jest… Continue reading

ATOR – Authentication Token Obtain and Replace – wtyczka Burp Suite do obsługi złożonych mechanizmów sesyjnych

Schemat działania wtyczki ATOR

Chodź narzędzie Burp Suite posiada wbudowany mechanizm obsługi sesji, coraz częściej spotykam się z sytuacjami, gdzie po prostu sobie nie radzi z utrzymaniem jej aktywnej. Jest to najczęściej spowodowane jednym z poniższych czynników: dynamiczne tokeny CSRF ukryte w różnych miejscach requestu; aplikacje oparte na JavaScript (React, Angular) i interfejsy API… Continue reading

Serpico – zautomatyzuj pisanie raportów

serpico

Chyba większość pentesterów na pytanie, „za czym najmniej przepada w testach penetracyjnych?” – zgodnie odpowie, że za pisaniem raportów z tychże testów. Jest to dość żmudny proces, zajmujący wiele czasu i wymagający opisania znalezionych podatności pod kątem różnego rodzaju odbiorców. Pisałem o tym tutaj – „Jak powinien wyglądać dobry raport… Continue reading

Przykładowy raport z rzeczywistego testu penetracyjnego

Przykładowy raport z rzeczywistego testu penetracyjnego

W ramach swojej pracy magisterskiej miałem okazję przeprowadzić pełny test penetracyjny komercyjnej aplikacji webowej napisanej z użyciem ASP.NET. Wynikiem moich badań jest raport, którym postanowiłem podzielić się w „zaciemnionej” formie z szerszym gronem osób. Materiały tego typu w naszym ojczystym języku są towarem deficytowym. W zasadzie jedyny, który znam z… Continue reading

Jak powinien wyglądać dobry raport z testu penetracyjnego?

dobry raport z testu penetracyjnego

Doświadczony pentester, wie że dobrze napisany raport cechuję się tym, że po jego prezentacji klient nie ma żadnych dodatkowych pytań. Aby było to możliwe powinien on zawierać co najmniej cztery podstawowe sekcje z informacjami przeznaczonymi dla różnej grupy odbiorców. Sekcja 1: Ogólne informacje i statystyki Podczas, gdy programista mający naprawić… Continue reading