Посмотрел доклад Никиты Распопова из УЦСБ на Safe­Code 2024 про быструю разведку периметра организации при пентесте веб-приложений. Особенно полезны разбираемые способы автоматизации должны быть для тех, кто занимается багхантингом и хочет быстро находить/репортить "low-hang­ing fruits". 🙂 Слайды и описание доклада доступны в канале Никиты.

Были использованы утилиты:

🔻 Way­Back­Tools — парсинг веб-кэша
🔻 httpx — проверка доступа
🔻 xurlfind3r — получение данных веб-кэша
🔻 Burp­Suite — платформа для пентестинга веб-приложений
🔻 GAP — Burp app для получения параметров и ссылок из JS
🔻 Nuclei — сканер уязвимостей
🔻 Katana — веб-краулер