Большой учебник по Postman

Postman — это популярный инструмент для тестирования и автоматизации API, который активно используется разработчиками и тестировщиками по всему миру. В нашем большом учебнике, состоящем из отдельных статей, мы поэтапно рассмотрим все основные аспекты работы с Postman, начиная с базовых функций и заканчивая продвинутыми возможностями.

https://habr.com/ru/articles/907178/

#тестирование #тестирование_по #тестирование_вебприложений #тестирование_сайтов #тестирование_приложений #тестирование_производительности #тестирование_мобильных_приложений #тестирование_на_проникновение

[Перевод] Тестирование на проникновение: Tomcat

При тестировании на проникновение крайне важно обращать внимание на наличие Apache Tomcat — одного из самых популярных веб-серверов. Изначально Apache Software Foundation разработала Tomcat как платформу для демонстрации технологий Java Servlet и JavaServer Pages (JSP), которые служат основой для Java веб-приложений. Со временем, Tomcat расширил свои возможности, чтобы поддерживать дополнительные Java веб-технологии. Кроме того, одной из заметных особенностей Tomcat является поддержка развертывания веб-приложений с помощью файлов WAR (Web Application Archive). Эти файлы содержат в себе все компоненты веб-приложения — код, страницы и другие файлы, что значительно упрощает процесс развертывания. Tomcat позволяет пользователям загружать и запускать эти WAR-файлы, предоставляя возможность размещать свои приложения в интернете. Помимо WAR-файлов, Tomcat также поддерживает развертывание JSP-страниц. JSP — это технология, позволяющая разработчикам создавать динамические веб-страницы с использованием Java. Tomcat способен выполнять эти JSP-страницы, что делает его универсальной платформой для хостинга самых разных веб-приложений. По умолчанию Tomcat поддерживает использование WAR-файлов и JSP-страниц. Однако администраторы могут настраивать параметры для обеспечения безопасности и контроля над загрузками файлов, тем самым повышая общую защищённость сервера. Оглавление - Настройка лаборатории - Установка - Конфигурация - Enumeration - Эксплуатация с использованием Metasploit Framework - Ручная эксплуатация (Reverse shell)

https://habr.com/ru/articles/904842/

#тестирование_на_проникновение #пентест #багбаунти #tomcat #apache #rv #кибербезопасность

Есть ли необходимость в автоматизации тестирования на проникновение

Несмотря на постоянно растущий спрос на решения для информационной безопасности, число успешных кибератак на организации по всему миру ежегодно увеличивается. По нашим данным, в 2023 году этот показатель вырос на 18%, и, судя по тенденциям 2024 года, этот рост продолжится. Одна из причин – повсеместная цифровизация. Компании автоматизируют процессы и внедряют новые продукты и сервисы, что ведет к увеличению числа цифровых активов, которые могут стать уязвимым местом в инфраструктуре. В этой статье поговорим про зрелость информационной безопасности в российских компаниях, покажем, хорошо ли они справляются с кибератаками, есть ли у них планы по развитию ИБ на ближайшие пять лет и готовы ли они переходить от ручного тестирования на проникновение (пентеста) к автоматизации этого процесса.

https://habr.com/ru/companies/pt/articles/891406/

#опрос #тестирование_на_проникновение #автопентест #автоматическое_тестирование #кибератаки #российские_компании #тестирование_безопасности #ручной_пентест #ручное_тестирование

Пентест системы печати. Атакуем

В предыдущей статье мы начали разговор о пентесте системы печати. Мы рассмотрели, на каких протоколах и языках строится взаимодействие с принтерами, попробовали поискать открытые порты, через которые можно с ними взаимодействовать, а также познакомились с инструментом PRET. Теперь давайте перейдём к практике и попробуем проэксплуатировать то, что удалось найти. Начнём со сброса настроек.

https://habr.com/ru/companies/otus/articles/882612/

#print #pentest #pret #пентест #тестирование_на_проникновение

Теория большого пентеста

Привет! Меня зовут Сергей Домнин, со мной моя коллега Анастасия Есина. Мы руководители направлений по информационной безопасности в SM Lab. В этой статье мы расскажем о таком методе оценки защищенности, как тестирование на проникновение, или пентест. Немного печальной статистики Начнем с определения понятия «уровень защищенности». Уровень защищенности – это состояние системы, компании, продукта, их способность противостоять угрозам и внешнему негативному воздействию. Высокий уровень защищенности позволяет оберегать данные клиентов, обеспечивать безопасность транзакций, а также поддерживать бесперебойную работу продуктов и систем.

https://habr.com/ru/companies/sportmaster_lab/articles/883654/

#пентест #кибербезопасность #информационная_безопасность #тестирование_на_проникновение #угрозы_безопасности #чёрный_ящик

Тестирование на проникновение в веб-приложение VAmPI

Привет, уважаемый читатель! В рамках данной статьи мы узнаем: * Какие API уязвимости есть в VAmPI? * Из-за чего эти уязвимости существуют и эксплуатируются? * Какие есть способы защитить веб-приложение? * Какой есть дополнительный материал для самостоятельного изучения? Ссылка на GitHub VAmPI Преисполниться в пентесте

https://habr.com/ru/articles/853660/

#пентест #VAmPI #github #кибербезопасность #информационная_безопасность #хакерские_атаки #hacking #белый_хакинг #взлом #тестирование_на_проникновение

Ретрансляция Kerberos. Как работает RemoteKrbRelay

В Windows Active Directory существует протокол Kerberos, который считается безопасным и неуязвимым к Relay-атакам. Или всё-таки...? В статье автор погрузился в глубины аутентификации Windows, DCOM и рассказал об инструменте RemoteKrbRelay. Изучить

https://habr.com/ru/articles/848542/

#winapi #kerberos #pentest #relay #hacking #тестирование_на_проникновение #windows_ad #active_directory_pentest

Безопасность на автопилоте: взламываем авиакомпанию, чтобы летать бесплатно

Представьте: вы заказываете пентест, ожидая найти пару-тройку мелких багов, а в итоге получаете отчет, от которого волосы встают дыбом даже у бывалых айтишников. Знакомая ситуация? Нет? Пристегните ремни — сейчас будет турбулентность. Сегодня у нас в блоге горячая история о том, как одна авиакомпания чуть не отправилась на небеса кибербезопасности. В этой статье мы разберем, как наша команда прошла путь от невинной SSRF-уязвимости до полного контроля над доменом заказчика. Спойлер: по пути мы нашли возможность генерировать бесконечные промокоды, отправлять SMS от имени компании и даже заглянули в святая святых — систему 1С.

https://habr.com/ru/companies/bastion/articles/847330/

#пентест_авиакомпании #SSRFуязвимость #LFIуязвимость #rce #удаленное_выполнение_кода #тактики_пентестеров #внешний_пентест #тестирование_на_проникновение #инструменты_хакера

Красная команда, черный день: почему матерые пентестеры лажают в Red Team

Как правило, заказы на Red Team поступают к уже опытным хакерским командам, которые набили руку на многочисленных пентестах. У них есть проверенные тактики и методы взлома, а также уверенность в своих силах. А ещё иногда они совершают «детские» ошибки во время первых редтимингов в карьере. Знаю это по собственному опыту. В этой статье тряхну стариной и расскажу об одном из первых Red Team-проектов: Разберу различия между Red Team и пентестом с точки зрения исполнителя. Поделюсь приемами оффлайн-разведки и рассмотрю процесс поиска уязвимостей на примере реального кейса. Покажу типичные ошибки, которые совершают пентестеры, переходящие в Red Team.

https://habr.com/ru/companies/bastion/articles/829402/

#пентест #тестирование_на_проникновение #red_team #информационная_безопасность #сетевые_технологии #хакерские_атаки #инфраструктурный_пентест

Что мы делаем в сети: подведение ежегодных итогов тестирования компаний-клиентов

Привет всем! Я Гриша Прохоров, аналитик из команды PT Cyber Analytics, и это моя первая статья на Хабре. Наши эксперты регулярно проводят тестирование на проникновение в компаниях, чтобы оценить уровень их защищенности. Это необходимо, чтобы организации увидели «масштаб катастрофы», с одной стороны, а с другой, выдохнули и пошли закрывать уязвимости и фиксить баги, чтобы их продукты становились более безопасными, а клиенты — защищенными. Пентестеры делают свою работу, что называется, в полевых условиях, а аналитики потом собирают полученную информацию, исследуют ее и делают соответствующие выводы. Такой вот симбиоз. О том, кто такие пентестеры и чем они занимаются, читайте в мартовской статье Димы Серебрянникова. Собранные аналитические данные помогают оценить проблему не одной конкретной компании, а целой отрасли, к примеру сделать вывод о состоянии защищенности той или иной отрасли от года к году. В новом большом исследовании мы подвели итоги таких тестирований за 2023 год, с ними можно ознакомиться на сайте . В этой статье хочу остановиться на ключевых моментах, в частности на уязвимостях. Подробности

https://habr.com/ru/companies/pt/articles/826190/

#пентест #уязвимости #защита_информации #пентестинг #тестирование_на_проникновение #аналитика #анализ_защищенности #кибербезопасность