Aktywne Wpisy
jmuhha +44
wezcie mi wytlumaczcie jak ludzi stac na budowe takiej chaty a zarabiaja 6k i pracuja bez weekendow? ლ(ಠ_ಠ ლ)
nie wierze, ze utrzymanie takiego domu jest tansze niz mieszkania
nie wierze, ze utrzymanie takiego domu jest tansze niz mieszkania
źródło: 1000021065
Pobierz
mannoroth +645
źródło: 1000015971
Pobierz
Aktywne Znaleziska
Działa ono jak serwer proxy – czyli wszystko co wysyłamy i odbieramy w przeglądarce jest zapisywane również tam.
Takie dane można następnie filtrować i wybierać interesujące nas żądania.
One to mogą być przesłane do modułu repeater.
Tam można je dowolnie modyfikować – czyli dodawać lub usuwać parametry, nagłówki i ciasteczka.
Większość pracy pentestera to umiejętne manipulowanie wszystkimi parametrami i obserwowanie odpowiedzi serwera.
Sporo z nich wymaga, aby użytkownik był zalogowany.
Zazwyczaj weryfikują to na podstawie ciasteczek.
Niestety, czasami czas życia sesji ustawiony jest na bardzo niską wartość.
Znamy to ze stron banków – gdzie po kilku minutach bezczynności, zostajemy automatycznie wylogowani.
Takie zachowanie może być irytujące podczas przeprowadzania testu.
Musimy wtedy ponownie się zalogować i podmienić wartość ciasteczka – tak aby nasze żądanie wykorzystywało nową sesję.
Cała ta operacja nie jest trudna – ale żmudna, zwłaszcza jeżeli powtarzamy ją kilka razy.
Można ją uprościć wykorzystując makra – czyli grupę wcześniej zapisanych żądań, które wykonują się automatycznie gdy wystąpi jakiś warunek.
W naszym przykładzie sprawdzamy, czy na stronie pojawił się formularz logowania.
Wtedy, Burp automatycznie loguje się wykorzystując wcześniej podane przez nas dane i podmienia ciasteczka za nas.
Dzięki temu możemy skupić się na pracy a nie ciągłym kontrolowaniu sesji.
Moje materiały możesz posłuchać w formie podcastu na Google i Apple Podcasts oraz Spotify i Anchor.
Subskrybuj kanał na YouTube
Masz pytanie na temat security? Zadaj je na grupie od 0 do pentestera na Facebooku.
Jeżeli chcesz być wołany do podobnych wpisów na Mirko dodaj się do Mirkolisty.
#bezpieczenstwo #programowanie #informatyka #it #nauka #technologia #ciekawostki #swiat #gruparatowaniapoziomu #biznes #security
Możesz zapisać/wypisać się klikając na nazwę listy.
! @KacperSzurek @Mashe @UrimTumim @porque @NERP @Smevios @Jakplus @Pioneer95 @ThatPart @szczeppan @Zielarz25 @press2210 @Dorrek @hiroszi @jerekp @Dyktus @bovver91 @Campell @ghostd @heow @Bakanany @arais_siara @Pies_Benek @HeinzDundersztyc @johnyboy @MojeTrzecieKonto @Deflaut @cytawek @dziki_bak
@KacperSzurek: Jasne.
Security to very szeroki topic, w którym każdemu beginnersowi pojawia się dużo questionsów i zanswerowanie ich w social mediach jest bardzo well widziane przez community, bo może zaimpovementować knowledge i zgainować trochę nowych skillsów przydatnych w usual taskach albo większych czelenżach uzgadnianych na meetingach z coworkerami przy aprobacie managementu.
@KacperSzurek: no właśnie czyli w sumie co? W jakim celu to sprawdzasz? Da się unikać takiego filtrowania jakimś szyfrowaniem czy co?
To prawda, dominuje.
Jednak specjaliści IT dzielą
Wyobraź sobie, że chcesz sprawdzić czy na stronie X znajduje się wyraz Y.
Będziesz więc wysyłał wiele żądań do http://example.com/Z gdzie Z to liczba od 1 do 100 000 000.
Oczywiście możesz to robić ręcznie przy pomocy przeglądarki, ale potrwa to bardzo długo.
Jeżeli umiesz programować – wykorzystasz jakiś język programowania.
Ja pokazuje tutaj inne podejście,
Znaczy cena pewnie jest spoko jeśli chodzi o narzędzie, bo na prawdę fajnie się z niego korzysta, raczej za dużo jak dla osoby, która chce się pobawić od czasu do czasu.
@kuba206: Może tcpreplay ?
@sambarumba: Do większości zastosowań darmowa wersja Community + rozszerzenia jest wystarczająca.
Nie ma się co oszukiwać, nie znajdzie się za wiele błędów w popularnych serwisach przy użyciu automatycznego skanera.
Trzy rzeczy, których może brakować w darmowej
@devu: Serdecznie dziękuje :)