D
Но думаю будет полезным работа с 301/302, 403, cors и host header inj. Т.к. конкретно с 301 и cors будет работа в авторизованном аккаунта.
Size: a a a
2021 January 18
D
так 403 bypass через заголовки уже есть
Я видел этот баш скрипт. Код не красивый и мало проверок реализовано в нём. Мне он не понравился.
К
Так и для бурпа есть
D
Ну юзайте бурп на здоровье. Я лишь попросил ресурсы если имеются
А
Но думаю будет полезным работа с 301/302, 403, cors и host header inj. Т.к. конкретно с 301 и cors будет работа в авторизованном аккаунта.
Запуск бурпа в headless - и все проверки, и куча чужих разработок
Время-затраты несоизмеримы
Время-затраты несоизмеримы
ДД
кто шарит в настройках ACL для Google Cloud черканите в лс плиз
D
Запуск бурпа в headless - и все проверки, и куча чужих разработок
Время-затраты несоизмеримы
Время-затраты несоизмеримы
He обнаружил хидлессе ничего связанного с заголовками
А
He обнаружил хидлессе ничего связанного с заголовками
Есть же бурп экстешн для байпаса через заголовки
D
Возможно и есть. Но:
1) возможно там есть не всё, что можно применить и я дополню
2) не все используют бурп, особенно веб разрабы, которым хотелось бы в консоли фаст тест провести
3) написание утилит это прокачивание своих навыков когда сталкиваешься с областями ранее не изученными
4) мне просто так хочется
1) возможно там есть не всё, что можно применить и я дополню
2) не все используют бурп, особенно веб разрабы, которым хотелось бы в консоли фаст тест провести
3) написание утилит это прокачивание своих навыков когда сталкиваешься с областями ранее не изученными
4) мне просто так хочется
M
Кто IAST юзал ? От каких вендоров ? Что скажите по опыту работы, насколько это вообще эффективно, интересует опыт работы с вендорскими решениями?
GD
Кто IAST юзал ? От каких вендоров ? Что скажите по опыту работы, насколько это вообще эффективно, интересует опыт работы с вендорскими решениями?
А есть не вендорские?
GD
Я бы тоже послушал отзывы и пожелания
M
А есть не вендорские?
ну кто-то подразумевает под этим саму методику, а не конкретные решения
мол если мы чекаем статику и динамику, то считай IAST, хотя это не совсем так
мол если мы чекаем статику и динамику, то считай IAST, хотя это не совсем так
GD
ну кто-то подразумевает под этим саму методику, а не конкретные решения
мол если мы чекаем статику и динамику, то считай IAST, хотя это не совсем так
мол если мы чекаем статику и динамику, то считай IAST, хотя это не совсем так
А, понял
S
ну кто-то подразумевает под этим саму методику, а не конкретные решения
мол если мы чекаем статику и динамику, то считай IAST, хотя это не совсем так
мол если мы чекаем статику и динамику, то считай IAST, хотя это не совсем так
ну дак все это делают
S
у кого есть в команде спецы по статике и спецы по динамике. Каждый свою часть пилит и потом те, которые в динамике смотрят, дополнительно проверяют то, что в статике нашли
(ну, если сильно упростить)
(ну, если сильно упростить)
S
Из софта если честно чекмаркс не гонял.
Знаю что позитивы со своим "умным анализатором" пиарятся (глупый он у них).
Смысла если честно мало во всём этом, если есть грамотный анализ кода+грамотный анализ работы в динамике
Знаю что позитивы со своим "умным анализатором" пиарятся (глупый он у них).
Смысла если честно мало во всём этом, если есть грамотный анализ кода+грамотный анализ работы в динамике
M
Ну меня больше интересует именно готовые вендорские решения и насколько они хороши в деле
S
q
на вскидку нашелся только synopsis
кто еще есть из интересных?
кто еще есть из интересных?