Посмотрел доклад Никиты Распопова из УЦСБ на SafeCode 2024 про быструю разведку периметра организации при пентесте веб-приложений. Особенно полезны разбираемые способы автоматизации должны быть для тех, кто занимается багхантингом и хочет быстро находить/репортить "low-hanging fruits". 🙂 Слайды и описание доклада доступны в канале Никиты.
Были использованы утилиты:
🔻 WayBackTools - парсинг веб-кэша
🔻 httpx - проверка доступа
🔻 xurlfind3r - получение данных веб-кэша
🔻 BurpSuite - платформа для пентестинга веб-приложений
🔻 GAP - Burp app для получения параметров и ссылок из JS
🔻 Nuclei - сканер уязвимостей
🔻 Katana - веб-краулер