vᅠ
Вот тречки, не то шо у вас
Доброе утро всем )
Size: a a a
2020 April 11
2020 April 12
D
реально зашел второй трек)
NK
Ребята, давайте стрим перенесем на среду.
Я подготовлюсь и забабахаем.
P.S. нас уже 850 человек на канале и примерно столько же в телеге 🥳
Я подготовлюсь и забабахаем.
P.S. нас уже 850 человек на канале и примерно столько же в телеге 🥳
НН
Всем привет!
Поделитесь best practices по поиску xss и sql на сайте?
Расширения burp?
знаю, что есть много утилит, позволяющих протестировать отдельные передаваемые параметры.
Но я ищу что-то более автоматизированное, чтобы указать на сайт и оно прошло по нему кравлером, собирая все страницы с возможностью передать запрос сайту.
Как это делаете вы, если не прибегая к сканерам типа несус, акунетикс и пр?
Если используете для этого Burp suite -- расскажите, что конктрено используете, какие режимы сканирования?
Например, xssvalidator. Но он через intruder тестирует только один параметр, а на сайте страниц с параметрами может быть много и делать так с каждым параметром весьма непродуктивно
Поделитесь best practices по поиску xss и sql на сайте?
Расширения burp?
знаю, что есть много утилит, позволяющих протестировать отдельные передаваемые параметры.
Но я ищу что-то более автоматизированное, чтобы указать на сайт и оно прошло по нему кравлером, собирая все страницы с возможностью передать запрос сайту.
Как это делаете вы, если не прибегая к сканерам типа несус, акунетикс и пр?
Если используете для этого Burp suite -- расскажите, что конктрено используете, какие режимы сканирования?
Например, xssvalidator. Но он через intruder тестирует только один параметр, а на сайте страниц с параметрами может быть много и делать так с каждым параметром весьма непродуктивно
IV
Всем привет!
Поделитесь best practices по поиску xss и sql на сайте?
Расширения burp?
знаю, что есть много утилит, позволяющих протестировать отдельные передаваемые параметры.
Но я ищу что-то более автоматизированное, чтобы указать на сайт и оно прошло по нему кравлером, собирая все страницы с возможностью передать запрос сайту.
Как это делаете вы, если не прибегая к сканерам типа несус, акунетикс и пр?
Если используете для этого Burp suite -- расскажите, что конктрено используете, какие режимы сканирования?
Например, xssvalidator. Но он через intruder тестирует только один параметр, а на сайте страниц с параметрами может быть много и делать так с каждым параметром весьма непродуктивно
Поделитесь best practices по поиску xss и sql на сайте?
Расширения burp?
знаю, что есть много утилит, позволяющих протестировать отдельные передаваемые параметры.
Но я ищу что-то более автоматизированное, чтобы указать на сайт и оно прошло по нему кравлером, собирая все страницы с возможностью передать запрос сайту.
Как это делаете вы, если не прибегая к сканерам типа несус, акунетикс и пр?
Если используете для этого Burp suite -- расскажите, что конктрено используете, какие режимы сканирования?
Например, xssvalidator. Но он через intruder тестирует только один параметр, а на сайте страниц с параметрами может быть много и делать так с каждым параметром весьма непродуктивно
Окунь только один раз мне хсс нашёл))) на счёт бурпа у меня стоит плагин https://github.com/wagiro/BurpBounty#notification-settings, но это не то что бы волшебная палочка которая скажет вот тут хсс, есть тулза для поиска хсс в параметрах https://github.com/s0md3v/XSStrike но опять же это не волшебная кнопка
IV
Про zap то был прав, шо удалил то?)
O
Про zap то был прав, шо удалил то?)
Решил что zap не особо полезен
IV
Ну не скажи, как краулер он офигенен
IV
Да и если нет про бурпа не плохая такая замена
IV
И тоже плагины поддерживает кстати
НН
Да и если нет про бурпа не плохая такая замена
Спасибо!
Если сравнивать про бурп и овасп зап, что бы вы выбрали? Почему?
Если сравнивать про бурп и овасп зап, что бы вы выбрали? Почему?
IV
Спасибо!
Если сравнивать про бурп и овасп зап, что бы вы выбрали? Почему?
Если сравнивать про бурп и овасп зап, что бы вы выбрали? Почему?
Мне как то бурп просто привычнее там у меня прям много плагинов уже нафигачено)))), Зап я очень редко юзаю, да и zap прям очень напрягает сайт когда ты его как сканер юзаешь. Палевный он в общем, ну это мое мнение, может я не верно его готовлю)))
2020 April 13
НН
Мне как то бурп просто привычнее там у меня прям много плагинов уже нафигачено)))), Зап я очень редко юзаю, да и zap прям очень напрягает сайт когда ты его как сканер юзаешь. Палевный он в общем, ну это мое мнение, может я не верно его готовлю)))
Благодарю за инфу!
w
Спасибо!
Если сравнивать про бурп и овасп зап, что бы вы выбрали? Почему?
Если сравнивать про бурп и овасп зап, что бы вы выбрали? Почему?
выбрал зап. хотя у него есть ряд недостатков.
как сканер его лучше не использовать, тем более там более глубокая и тонкая настройка требуется. чуть ли не каждый параметр настраивать, чтобы он адекватно сканил. начиная от аутентификации, заканчивая плагинами которые нужно отредактировать персонально для каждого таргета (не знаю как в бурпе, зап позволяет редактировать плагины), хотя плагины у него реально крутые есть плюс в дополнение к ним язык Zest, - json подобный язык для написания плагинов, прост в освоении, не сложнее, чем html, разработанный как и сам зап командой мазилла секьюрити. это прям можно сказать киллер фича (с сильной натяжкой)
как сканер его лучше не использовать, тем более там более глубокая и тонкая настройка требуется. чуть ли не каждый параметр настраивать, чтобы он адекватно сканил. начиная от аутентификации, заканчивая плагинами которые нужно отредактировать персонально для каждого таргета (не знаю как в бурпе, зап позволяет редактировать плагины), хотя плагины у него реально крутые есть плюс в дополнение к ним язык Zest, - json подобный язык для написания плагинов, прост в освоении, не сложнее, чем html, разработанный как и сам зап командой мазилла секьюрити. это прям можно сказать киллер фича (с сильной натяжкой)
w
из полезных фишек у запа
1) запись действий в браузере как кликер, действия в дальнейшем транслируются в код на языке зест который так же можно отредактировать (например циклировать свои действия, добавить регулярки и т.д.
2) запуск в контексте запа любого cli приложения. т.е. любая программа которая запускается в терминале - может быть совмещена с запом
3) hud - прокси реквест-респонс прямо в браузере без надобности переключать с браузера в окно программы и ряд опций типа краулер, актив скан и url фаззер так же с браузера
1) запись действий в браузере как кликер, действия в дальнейшем транслируются в код на языке зест который так же можно отредактировать (например циклировать свои действия, добавить регулярки и т.д.
2) запуск в контексте запа любого cli приложения. т.е. любая программа которая запускается в терминале - может быть совмещена с запом
3) hud - прокси реквест-респонс прямо в браузере без надобности переключать с браузера в окно программы и ряд опций типа краулер, актив скан и url фаззер так же с браузера
НН
выбрал зап. хотя у него есть ряд недостатков.
как сканер его лучше не использовать, тем более там более глубокая и тонкая настройка требуется. чуть ли не каждый параметр настраивать, чтобы он адекватно сканил. начиная от аутентификации, заканчивая плагинами которые нужно отредактировать персонально для каждого таргета (не знаю как в бурпе, зап позволяет редактировать плагины), хотя плагины у него реально крутые есть плюс в дополнение к ним язык Zest, - json подобный язык для написания плагинов, прост в освоении, не сложнее, чем html, разработанный как и сам зап командой мазилла секьюрити. это прям можно сказать киллер фича (с сильной натяжкой)
как сканер его лучше не использовать, тем более там более глубокая и тонкая настройка требуется. чуть ли не каждый параметр настраивать, чтобы он адекватно сканил. начиная от аутентификации, заканчивая плагинами которые нужно отредактировать персонально для каждого таргета (не знаю как в бурпе, зап позволяет редактировать плагины), хотя плагины у него реально крутые есть плюс в дополнение к ним язык Zest, - json подобный язык для написания плагинов, прост в освоении, не сложнее, чем html, разработанный как и сам зап командой мазилла секьюрити. это прям можно сказать киллер фича (с сильной натяжкой)
Кликер и hud прям норм...
Спасибо за инфу!
Спасибо за инфу!
ТА
ID:0
Ребята, давайте стрим перенесем на среду.
Я подготовлюсь и забабахаем.
P.S. нас уже 850 человек на канале и примерно столько же в телеге 🥳
Я подготовлюсь и забабахаем.
P.S. нас уже 850 человек на канале и примерно столько же в телеге 🥳
CMS Joomla в планах есть?
AB
CMS Joomla в планах есть?
Нет. Возможно плагины, но это не точно