Посмотрел доклад Никиты Распопова из УЦСБ на SafeCode 2024 про быструю разведку периметра организации при пентесте веб-приложений. Особенно полезны разбираемые способы автоматизации должны быть для тех, кто занимается багхантингом и хочет быстро находить/репортить "low-hanging fruits". 🙂 Слайды и описание доклада доступны в канале Никиты.
Были использованы утилиты:
🔻 WayBackTools - парсинг веб-кэша
🔻 httpx - проверка доступа
🔻 xurlfind3r - получение данных веб-кэша
🔻 BurpSuite - платформа для пентестинга веб-приложений
🔻 GAP - Burp app для получения параметров и ссылок из JS
🔻 Nuclei - сканер уязвимостей
🔻 Katana - веб-краулер
Привет! Меня зовут Александр. Я специалист по Управлению Уязвимостями. Подробнее обо мне можно прочитать здесь. Приглашаю подписаться на мой канал в Telegram @avleonovrus. Я обновляю его чаще, чем этот сайт. Вы можете обсудить мои посты или задать вопросы в @avleonovchat или в группе ВКонтакте.
And I invite all English-speaking people to another telegram channel @avleonovcom.