Burp Suite nie radzi sobie z automatycznym odświeżaniem sesji, jeśli taka sesja jest przechowywana w nagłówku, a nie w plikach cookie. Jest to istotne z uwagi na to, że często tokeny JWT (JSON Web Tokens) mają krótki czas życia, co wynika z konieczności zapewnienia bezpieczeństwa przetwarzanych danych. W efekcie, próba… Continue reading →
Najczęstszym punktem wstrzyknięcia złośliwych treści do aplikacji są wartości parametrów przekazywanych do niej. Aby poznać, jakie parametry używa dana aplikacja, należy przeprowadzić fazę rekonesansu, czyli testować różne funkcjonalności i zauważać, jakie parametry są wtedy przesyłane. Jednakże, jeśli nie ma się dostępu do pełnej dokumentacji technicznej lub kodu źródłowego, a funkcjonalności… Continue reading →
Wystarczy jedna literówka i payload, który miał zadziałać, nie zadziała. Dobrze jeżeli zostanie to zauważone i poprawione. Nierzadko jednak pewnie w ten sposób dochodzi do sytuacji gdy jakaś podatność nie została wykryta. Kilka dni temu mój kolega Dawid podesłał mi wtyczkę do Burpa, która pomaga przeciwdziałać tego typu wpadkom. HopLa… Continue reading →
Chodź narzędzie Burp Suite posiada wbudowany mechanizm obsługi sesji, coraz częściej spotykam się z sytuacjami, gdzie po prostu sobie nie radzi z utrzymaniem jej aktywnej. Jest to najczęściej spowodowane jednym z poniższych czynników: dynamiczne tokeny CSRF ukryte w różnych miejscach requestu; aplikacje oparte na JavaScript (React, Angular) i interfejsy API… Continue reading →
Cześć podróżniku!
Jestem Michał. Cyberbezpieczeństwo jest moją pasją i pracą. Hobbystycznie zajmuję się drukiem 3d. W ramach tej strony staram się dzielić się wiedzą właśnie z tych obszarów. Mam nadzieję, że znajdziesz tutaj przydatne dla siebie informacje :)
Więcej o mnie...
Subskrypcja
Wspieraj tę stronę
Jeżeli podoba Ci się moja twórczość możesz mnie wesprzeć kawą :)
