Анна Васильева — Поиск уязвимостей IDOR (BOLA)
Ближайшая конференция: Heisenbug 2023 Autumn — 10–11 октября (online), 15–16 октября (offline)
Подробности и билеты: https://bit.ly/3qd3swV
— —
Дополнительные навыки в нагрузочном тестировании, производительности, UX, безопасности, автоматизации и так далее помогают QA эффективнее повышать качество в своем продукте. QA, имея знания в тестировании безопасности, может быть евангелистом безопасности в своей команде (Security Champion).
С чего обычно начинают знакомиться с тестированием безопасности — пентестом? Пробуют перебрать пароли от какого-либо сервиса (брутфорс). Знакомятся с OWASP Top 10 и начинают искать XSS, добавляя в поля img src=x onerror=alert('XSS');.
Но начинать, по мнению спикера, лучше всего с IDOR (BOLA). Эта уязвимость очень простая и часто встречается в различных сервисах.
На мастер-классе вы научитесь искать IDOR. Он будет полезен всем, кто хочет начать тестировать безопасность в своем продукте и вместе поискать IDOR с помощью инструмента Burp Suite.
Для участия в мастер-классе необходимо:
Поставить Burp Suite Community: https://portswigger.net/burp/releases/professional-community-2022-8-2?requestededition=community&requestedplatform=
Настроить проксирование Burp: https://portswigger.net/burp/documentation/desktop/tools/proxy/getting-started
Установить расширение Autorize:
— Скачать jython standalon: https://www.jython.org/download.html
— На вкладке Extender/Options добавить его в Python Enviroment
— Перейти на вкладку Extender/BApp Store — выбрать слева Autorize, справа нажать install.
#security #pentest #idor #owasp_top_10
Видео Анна Васильева — Поиск уязвимостей IDOR (BOLA) канала Heisenbug
Подробности и билеты: https://bit.ly/3qd3swV
— —
Дополнительные навыки в нагрузочном тестировании, производительности, UX, безопасности, автоматизации и так далее помогают QA эффективнее повышать качество в своем продукте. QA, имея знания в тестировании безопасности, может быть евангелистом безопасности в своей команде (Security Champion).
С чего обычно начинают знакомиться с тестированием безопасности — пентестом? Пробуют перебрать пароли от какого-либо сервиса (брутфорс). Знакомятся с OWASP Top 10 и начинают искать XSS, добавляя в поля img src=x onerror=alert('XSS');.
Но начинать, по мнению спикера, лучше всего с IDOR (BOLA). Эта уязвимость очень простая и часто встречается в различных сервисах.
На мастер-классе вы научитесь искать IDOR. Он будет полезен всем, кто хочет начать тестировать безопасность в своем продукте и вместе поискать IDOR с помощью инструмента Burp Suite.
Для участия в мастер-классе необходимо:
Поставить Burp Suite Community: https://portswigger.net/burp/releases/professional-community-2022-8-2?requestededition=community&requestedplatform=
Настроить проксирование Burp: https://portswigger.net/burp/documentation/desktop/tools/proxy/getting-started
Установить расширение Autorize:
— Скачать jython standalon: https://www.jython.org/download.html
— На вкладке Extender/Options добавить его в Python Enviroment
— Перейти на вкладку Extender/BApp Store — выбрать слева Autorize, справа нажать install.
#security #pentest #idor #owasp_top_10
Видео Анна Васильева — Поиск уязвимостей IDOR (BOLA) канала Heisenbug
Показать
Комментарии отсутствуют
Информация о видео
Другие видео канала
Рамазан Рамазанов — Специфические атаки на интернет-банкингДаниил Шилко, Иван Варивода — Как ускорить прогон тестов в многомодульном проекте MavenГригорий Кошелев — Как (не) надо проводить нагрузочное тестированиеИван Щербинин (Positive Technologies) — Аналитика и метрики качества на основе найденных баговMesut Durukal — How to Write Reusable TestsChatGPT в тестировании: конкурент или коллегаЭксперты индустрии о программе Heisenbug 2023 SpringDeal with ITХозя и КозяНародное инженерное решениеСтрах и ненависть в тестированииКак нанять тестировщика: процесс, скиллы и архетипыАлександр Иванов — Yandex Load Testing: что облачные инструменты дают нагрузочному тестировщикуДмитрий Цитман — Метрики качества для регулярных нагрузочных тестов. Автоматизация остановки тестовМаксим Рогожников — Опыт обучения нагрузкеАлексей Романов — Использование Docker Compose для разработки и тестированияМихаил Шваркунов — Как мы автотестируем VK ЗвонкиАндрей Акиньшин — Описательная статистика перформанс-распределенийКруглый стол по карьере в нагрузкеАлексей Белоглазов — Как сгенерировать 1000 моков и отказаться от тестовых стендов