HabrBlack-box пентест: как одна панель управления раскрыла 30 поддоменов и Zabbix в открытом доступе
Недавно мне поступила задача: провести внешний black-box пентест клиентской панели управления. Входных данных — минимум: только URL. Ни IP-диапазонов, ни схемы сети, ни описания архитектуры. Звучит как типичная история, но в процессе я наткнулся на такие грабли, что решил поделиться методологией. Статья будет полезна и начинающим пентестерам, и админам, которые хотят понять, как их инфраструктуру видят из интернета.
https://habr.com/ru/companies/cloud4y/articles/1043478/
#пентест #blackbox #информационная_безопасность #OSINT #Certificate_Transparency #crtsh #subfinder #nmap #Zabbix #DevOps
Black-box пентест: как одна панель управления раскрыла 30 поддоменов и Zabbix в открытом доступе
Предисловие: все названия компаний, имена разработчиков и реальные IP-адреса изменены. Технические детали и векторы атак — настоящие. Недавно мне поступила задача: провести внешний black-box пентест...