@niebezpiecznik Może chciał zgłosić, ale zabrakło kanałów. 🤡
W Polsce brak wypracowanych procedur do tej czynności. Oczywiście mam na myśli bezpośrednie zgłaszanie, nie przez CERT.
Dzisiaj kolejna dawka podatności z testów.
Path traversal wykryłem dosyć prostymi ładunkami, chociaż nie zawsze kończy się odkryciem wrażliwych danych to tutaj się to udało w obu przypadkach.
#CyberSecurity#InfoSec#Cyberbezpieczeństwo
Dzisiejszych hattrick. Sql injection to chyba moja ulubiona podatność w sferze web.
Ostatnie moje wnioski to warto próbować crawlować i ręcznie badać stronę + arjun, niż polegać na narzędziach typu waybackurl, gau itd. są mocno przekopane :).
#sqlmap#cyberbezpieczeństwo
@ProfesorPingwin W polityce jest tak, że raz więcej, raz mniej, ale w końcowym rozrachunku nie ma co narzekać. Wystarczy użyć google i sprawdzić historię zarobków.
@niebezpiecznik Nie napisałem, że wszystkie. Przecież RPWDL to od lat najlepsze źródło dla scrapowania danych. Szkoda, że nikt nigdy publicznie nie poruszył problemów z nadawaniem uprawnień w latach ubiegłych, bo to był cyrk :)
🤯 Zhackowałem "bezpieczną" apkę w 60 minut.
Używając Time-based blind SQLi, odczytałem całą bazę bez jednego błędu. Ale prawdziwym zagrożeniem jest Second-Order SQLi – payload "śpi" w bazie i czeka na detonację np. w panelu admina.
‼️ Wasz zespół wie, czym są prepared statements i ataki 2-go rzędu? Proste filtry to nie ochrona! Testujecie dane, które już macie w systemie?
#SQLInjection #WebSecurity #BezpieczeństwoAplikacji #TestyPenetracyjne #Hacking #Cyberbezpieczeństwo