о, а вот это уже дельный совет, спс

здравствуйте. не подскажите ресурс для изучения веб пентеста, чтобы понять всю картину процесса, а то воргеймы дают только куски, а цельная картина не складывается. в вебе нуб, знаю кавычки, xss, csrf. проходил курс на степике от мэйл - анализ безопасности веб приложений. и немного tryhackme

Да это задротство вечное, увы

Изучить работу протоколов что используется для веб, изучить самые популярные нынче стэки технологий, если кто вам скажет что можно заниматься на нормальном уровне веб пентестом без знания того как строится веб сервисы, сервера и умение их делать самому а так же глубокого погружения в работу вебсерверов ( самых популярных хватит апач,иис, нгинкс итд) то вас или вводят в заблуждение и ли нагло врут. P.S выучите хоть один язык программирования чтобы стали понятны остальные.

благодарю, языками владею немного, бинарными эксплойтами увлекаюсь

А потом тебе попадётся какая-нибудь малоизвестная технология и решать будет то, как внимательно ты читал документацию по сравнению с разрабами

Полностью согласен, я писал к тому что человек написал, я понял что он в начале пути, но учитывая что владеет языками, я бы посоветовал внимательность, и больше верить себе а не сканерам )

Мб сканерам можна верить но я прям уверен что хоть ктото да и настроил автоматическую систему  сканирования на все что появляетса в баунти

привет. нашел вариант байпасснуть капчу на странице авторизации. но авторизоваться могут уже имеющиеся пользователи. нет регистрации. такое стоит репортить или без демонстрации импакта лучше промолчать?

А как ты понял тогда, что байпасснул капчу), если не авторизовался

могу в строке ввода емейла вписать любой, он уходит

Лучше прибереги для автоматизации фаззинга это

И такие тоже есть, причём делают они это очень даже успешно...

ты о себе?

Не, я конечно пользуюсь сканнером, но в основном руками ковыряюсь.

а ты бы как поступил касаемо обхода капчи?

вк за такую тему $200 давали вроде как

но всё равно лучше в связке использовать, так смысла мало

thx