В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebPwnChat

902 membersпожаловаться на группу
2020 February 20

А

Алексей in WebPwnChat
Billy Fox
Более того, я вообще не предпочитаю сразу запускать сканирование всех скрытых директорий, пока все публичные не найду и пока все доступные параметры для фаззинга не налутаю
А почему не параллельно?
7000 запосов всего, поставить задержу секунды 2-3 и 1 поток, потом просто отсортировать по размеру ответа

И хоп - бекапы, админки, ~
источник
13:31пожаловаться#1

BF

Billy Fox in WebPwnChat
Алексей
А почему не параллельно?
7000 запосов всего, поставить задержу секунды 2-3 и 1 поток, потом просто отсортировать по размеру ответа

И хоп - бекапы, админки, ~
Ну хз, я просто мануальщик и делаю всё в соответствии с методикой, хоть интуиция и спасает иногда, часто бывает проще простр следовать правилам типа OWASP Testing Guide
источник
13:33пожаловаться#2

А

Алексей in WebPwnChat
Billy Fox
Ну хз, я просто мануальщик и делаю всё в соответствии с методикой, хоть интуиция и спасает иногда, часто бывает проще простр следовать правилам типа OWASP Testing Guide
Мануальщик - 7000 файлов руками перебирать?)

Я же про оптимизацию процесса, снижение нагрузки на тестируемый ресурс говорю
источник
13:35пожаловаться#3

BF

Billy Fox in WebPwnChat
Кто-нибудь встречал гайды, как хакеру быть с NodeJS Express? Нашёл хост интересный у конторы, которая вчера мне аж 850$ заплатила, решил её по полной программе нагнуть. А там ноджс экспресс и ничего в паблике не видно кроме главной страницы с Hello World и ошибок.
источник
13:36пожаловаться#4

K

Kukuxumushi in WebPwnChat
Алексей
А почему не параллельно?
7000 запосов всего, поставить задержу секунды 2-3 и 1 поток, потом просто отсортировать по размеру ответа

И хоп - бекапы, админки, ~
6 часов на 7к директорий это сильно
источник
13:37пожаловаться#5

А

Алексей in WebPwnChat
Billy Fox
Кто-нибудь встречал гайды, как хакеру быть с NodeJS Express? Нашёл хост интересный у конторы, которая вчера мне аж 850$ заплатила, решил её по полной программе нагнуть. А там ноджс экспресс и ничего в паблике не видно кроме главной страницы с Hello World и ошибок.
Могу подсказать, как минимум path traversal/insecure api/подстановка кук
источник
13:37пожаловаться#6

BF

Billy Fox in WebPwnChat
О давай, щас любое в принципе полезно будет
источник
13:37пожаловаться#7

А

Алексей in WebPwnChat
Kukuxumushi
6 часов на 7к директорий это сильно
А почему нет? Зато никакой сильной нагрузки

Работает себе в фоне, и хорошо

А в это время тестишь руками что надо
источник
13:37пожаловаться#8

M

Mykola in WebPwnChat
Billy Fox
Кто-нибудь встречал гайды, как хакеру быть с NodeJS Express? Нашёл хост интересный у конторы, которая вчера мне аж 850$ заплатила, решил её по полной программе нагнуть. А там ноджс экспресс и ничего в паблике не видно кроме главной страницы с Hello World и ошибок.
Senior Node.js здесь :)

На самом деле Node.js от других технологий не сильно отличается. Думай про неё как про технологию с которой уже знаком. И пробуй пейлоды которое работают.


Каких-то багов на платформе последнее время не было. По этому все по стандарту
источник
13:46пожаловаться#9

M

Mykola in WebPwnChat
Mykola
Senior Node.js здесь :)

На самом деле Node.js от других технологий не сильно отличается. Думай про неё как про технологию с которой уже знаком. И пробуй пейлоды которое работают.


Каких-то багов на платформе последнее время не было. По этому все по стандарту
Единственное если у тебя на роуте где есть ошибка в stack trace пишет библиотеки которые используют, попробуй прогуглить их на предмет уязвимостей
источник
13:48пожаловаться#10

M

Mykola in WebPwnChat
Часто бывает что так можно дойти и до RCE
источник
13:49пожаловаться#11

BF

Billy Fox in WebPwnChat
Mykola
Часто бывает что так можно дойти и до RCE
Спасибо :З
источник
13:51пожаловаться#12

h◔

hanstalker ◔‿◔ in WebPwnChat
Mykola
Senior Node.js здесь :)

На самом деле Node.js от других технологий не сильно отличается. Думай про неё как про технологию с которой уже знаком. И пробуй пейлоды которое работают.


Каких-то багов на платформе последнее время не было. По этому все по стандарту
Постоянно появляютса репорти на nodeJs, целими пачками
источник
13:55пожаловаться#13

M

Mykola in WebPwnChat
hanstalker ◔‿◔
Постоянно появляютса репорти на nodeJs, целими пачками
Ты говоришь сейчас про Node.js ecosystem?
источник
13:55пожаловаться#14

в

вжух in WebPwnChat
кто то знает может, в окуне можно выбирать количество запросов в секунду?
источник
13:56пожаловаться#15

h◔

hanstalker ◔‿◔ in WebPwnChat
я про ето, а что ето я не уверен
https://hackerone.com/reports/691977
источник
13:56пожаловаться#16

h◔

hanstalker ◔‿◔ in WebPwnChat
вжух
кто то знает может, в окуне можно выбирать количество запросов в секунду?
https://www.acunetix.com/blog/docs/configure-scan-speed-acunetix/  ?
источник
13:57пожаловаться#17

IS

I S in WebPwnChat
вжух
кто то знает может, в окуне можно выбирать количество запросов в секунду?
ри старте скана же все натсройки потоки итд
источник
13:58пожаловаться#18

GD

Green Dog in WebPwnChat
hanstalker ◔‿◔
Постоянно появляютса репорти на nodeJs, целими пачками
это не самом ноде жс, а в библотеках сторонних. Такая ситуация примерно у всех языков
источник
13:58пожаловаться#19

M

Mykola in WebPwnChat
hanstalker ◔‿◔
я про ето, а что ето я не уверен
https://hackerone.com/reports/691977
Да, это все категория библиотек.
источник
13:59пожаловаться#20