Автоматизация — лучший друг пентестера. Сегодня практикуемся в написании кастомных эксплойтов на Python для решения задач Web Security Academy.Разберем лабораторию «Username enumeration via different responses»: проанализируем логику ошибок бэкенда, обойдем форму аутентификации без использования браузера и напишем скрипт, который находит валидного пользователя и подбирает пароль быстрее, чем вы успеете заварить кофе. Полный листинг кода и разбор нюансов работы с сессиями прилагается. Читать далее
Без воды о том, как за 10 минут сделать: 1.Проверяем ваш composer.json на серьезные и несерьезные ошибки, вроде неоптимального autoload 2.Проверяем ваш composer.lock на security уязвимости в пакетах 3.Проверяем вашу базу данных, что ничего не забыли 4.Проверяем ваши YAML файлы 5.Проверяем Coding Style по Symfony Читать дальше →
Привет! Меня зовут Даниил Климчук, я работаю в команде, занимающейся SDK для авторизации через сервисы экосистемы VK. В него входит несколько компонентов, а именно авторизация по протоколу OAuth 2.1, кнопка One Tap для авторизации в один клик, шторка с описанием сценария авторизации и поддержка авторизации через Mail и OK. Читать далее
Сервер авторизации в OAuth предназначен для выдачи маркера доступа, который позволяет клиентскому приложению использовать этот маркер доступа для запроса ресурса, который ему нужно получить. Сервер ресурсов будет подтверждать этот маркер доступа с помощью сервера авторизации…