Анна Васильева - Поиск уязвимостей IDOR (BOLA)

Поделиться
HTML-код
  • Опубликовано: 7 фев 2025
  • Ближайшая конференция - Heisenbug 2025 Spring, 5-6 апреля (Москва + онлайн-трансляция).
    Подробности и билеты: jrg.su/Tq0vcu
    - Ближайшая конференция: Heisenbug 2023 Autumn - 10-11 октября (online), 15-16 октября (offline)
    Подробности и билеты: bit.ly/3qd3swV
    - -
    Дополнительные навыки в нагрузочном тестировании, производительности, UX, безопасности, автоматизации и так далее помогают QA эффективнее повышать качество в своем продукте. QA, имея знания в тестировании безопасности, может быть евангелистом безопасности в своей команде (Security Champion).
    С чего обычно начинают знакомиться с тестированием безопасности - пентестом? Пробуют перебрать пароли от какого-либо сервиса (брутфорс). Знакомятся с OWASP Top 10 и начинают искать XSS, добавляя в поля img src=x onerror=alert('XSS');.
    Но начинать, по мнению спикера, лучше всего с IDOR (BOLA). Эта уязвимость очень простая и часто встречается в различных сервисах.
    На мастер-классе вы научитесь искать IDOR. Он будет полезен всем, кто хочет начать тестировать безопасность в своем продукте и вместе поискать IDOR с помощью инструмента Burp Suite.
    Для участия в мастер-классе необходимо:
    Поставить Burp Suite Community: portswigger.ne...
    Настроить проксирование Burp: portswigger.ne...
    Установить расширение Autorize:
    - Скачать jython standalon: www.jython.org...
    - На вкладке Extender/Options добавить его в Python Enviroment
    - Перейти на вкладку Extender/BApp Store - выбрать слева Autorize, справа нажать install.
    #security #pentest #idor #owasp_top_10

Комментарии • 10

  • @ЭдуардГибадуллин-ц5к
    @ЭдуардГибадуллин-ц5к Год назад +1

    Большое спасибо 😊😊😊

  • @ЖекаДмитренко-ж1б
    @ЖекаДмитренко-ж1б Год назад +1

    Благодарю

  • @delvig6699
    @delvig6699 Год назад +1

    Спасибо большое за видео!Анна очень понятно рассказала и я узнал много интересного

  • @Котики-с9б9к
    @Котики-с9б9к Год назад +1

    28:30 один рубль на одну копейку)?

  • @БорисМарьин-ш7ж
    @БорисМарьин-ш7ж Год назад

    Начало 3:29

  • @Bob-vv4zw
    @Bob-vv4zw Год назад +2

    Анна а ты на хакеруане нашла хоть 1 уязвимость за которую заплатили?

  • @bananasba
    @bananasba Год назад +1

    Очевидно, что найти все уязвимости так невозможно и все равно долго, нужно решать вопрос на уровне проектирования

    • @annavasilyeva3076
      @annavasilyeva3076 Год назад

      Хорошая аналитика исключает тестирование? Нет? - в безопасности так же. Поэтому и нужны пентесты

Следующие
Автовоспроизведение
Рамазан Рамазанов - Тестирование безопасности API: кейсы, инструменты и рекомендации43:53Рамазан Рамазанов — Тестирование безопасности API: кейсы, инструменты и рекомендации
Рамазан Рамазанов - Тестирование безопасности API: кейсы, инструменты и рекомендацииHeisenbug — конференция по тестированию
Просмотров 6 тыс.
Тестирование безопасности веб-приложений ➤ Основы44:13Тестирование безопасности веб-приложений ➤ Основы
Тестирование безопасности веб-приложений ➤ ОсновыITVDN
Просмотров 8 тыс.
Александр Петров - Что должен знать мобильный тестировщик в 2023 году для Senior позиции45:46Александр Петров — Что должен знать мобильный тестировщик в 2023 году для Senior позиции
Александр Петров - Что должен знать мобильный тестировщик в 2023 году для Senior позицииHeisenbug — конференция по тестированию
Просмотров 6 тыс.
Imagine Dragons - Take Me To The Beach (feat. Ado) (Official Lyric Video)02:48Imagine Dragons - Take Me To The Beach (feat. Ado) (Official Lyric Video)
Imagine Dragons - Take Me To The Beach (feat. Ado) (Official Lyric Video)ImagineDragonsVEVO
Просмотров 2 млн
Every Home Alone Is Worse Than The Last39:35Every Home Alone Is Worse Than The Last
Every Home Alone Is Worse Than The Lastgabi belle
Просмотров 844 тыс.
KARATE KID: LEGENDS - Official Trailer (HD)02:01KARATE KID: LEGENDS - Official Trailer (HD)
KARATE KID: LEGENDS - Official Trailer (HD)Sony Pictures Entertainment
Просмотров 9 млн
Barstool Pizza Review - Del Rossi's (Philadelphia, PA) Bonus Cheesesteak Presented by Tommy John06:50Barstool Pizza Review - Del Rossi's (Philadelphia, PA) Bonus Cheesesteak Presented by Tommy John
Barstool Pizza Review - Del Rossi's (Philadelphia, PA) Bonus Cheesesteak Presented by Tommy JohnOne Bite Pizza Reviews
Просмотров 236 тыс.
Андрей Леонов - Web security testing starter kit57:17Андрей Леонов — Web security testing starter kit
Андрей Леонов - Web security testing starter kitHeisenbug — конференция по тестированию
Просмотров 7 тыс.
Insecure Direct Object Reference / IDOR Explained // How to Bug Bounty13:28Insecure Direct Object Reference / IDOR Explained // How to Bug Bounty
Insecure Direct Object Reference / IDOR Explained // How to Bug BountyNahamSec
Просмотров 32 тыс.
Николай Максимов - Нагрузочное тестирование с помощью Python и Locust1:02:56Николай Максимов — Нагрузочное тестирование с помощью Python и Locust
Николай Максимов - Нагрузочное тестирование с помощью Python и LocustHeisenbug — конференция по тестированию
Просмотров 8 тыс.
Антон Смолянин - Эффективное использование терминала46:11Антон Смолянин — Эффективное использование терминала
Антон Смолянин - Эффективное использование терминалаHeisenbug — конференция по тестированию
Просмотров 1,1 тыс.
Эксперт по кибербезопасности о ваших паролях, вирусах и кибератаках22:28Эксперт по кибербезопасности о ваших паролях, вирусах и кибератаках
Эксперт по кибербезопасности о ваших паролях, вирусах и кибератакахРаскадровка
Просмотров 319 тыс.
How I made 1k in a day with IDORs! (10 Tips!)23:09How I made 1k in a day with IDORs! (10 Tips!)
How I made 1k in a day with IDORs! (10 Tips!)InsiderPhD
Просмотров 55 тыс.
Анатолий Иванов - Как находить баги на багбаунти и не задалбываться43:34Анатолий Иванов — Как находить баги на багбаунти и не задалбываться
Анатолий Иванов - Как находить баги на багбаунти и не задалбыватьсяStandoff 365
Просмотров 8 тыс.
Тестирование безопасности API - Катерина Овеченко. QA Fest 201952:00Тестирование безопасности API - Катерина Овеченко. QA Fest 2019
Тестирование безопасности API - Катерина Овеченко. QA Fest 2019Fest Group
Просмотров 10 тыс.
Почему SSRF становится такой популярной уязвимостью14:43Почему SSRF становится такой популярной уязвимостью
Почему SSRF становится такой популярной уязвимостьюПолосатый ИНФОБЕЗ
Просмотров 1,7 тыс.
Day 1 | IEM Katowice 2025 Playoffs | 🎙КРИВОЙ ЭФИР6:05:50Day 1 | IEM Katowice 2025 Playoffs | 🎙КРИВОЙ ЭФИР
Day 1 | IEM Katowice 2025 Playoffs | 🎙КРИВОЙ ЭФИРSL4M & Counter-Strike
Просмотров 323 тыс.
Feeling someone’s watching you👩🏻‍💻 #VictoriaPfeifer00:20Feeling someone’s watching you👩🏻‍💻 #VictoriaPfeifer
Feeling someone’s watching you👩🏻‍💻 #VictoriaPfeiferVictoria Pfeifer
Просмотров 14 млн
КТО ЛЮБИТ БЛИНЫ?? #shorts00:26КТО ЛЮБИТ БЛИНЫ?? #shorts
КТО ЛЮБИТ БЛИНЫ?? #shortsПаша Осадчий
Просмотров 216 тыс.
Avoid The Person Challenge 😱00:49Avoid The Person Challenge 😱
Avoid The Person Challenge 😱Zhong
Просмотров 8 млн
Лево или Право? АНИМАЦИЯ00:17Лево или Право? АНИМАЦИЯ
Лево или Право? АНИМАЦИЯTimonqi
Просмотров 1,4 млн
спидран по ютуб шортс 108 | Муж, парень и Эля00:53спидран по ютуб шортс 108 | Муж, парень и Эля
спидран по ютуб шортс 108 | Муж, парень и Эляi11ushenka
Просмотров 2,5 млн
Наступи, а то поссоримся00:12Наступи, а то поссоримся
Наступи, а то поссоримсяОЛЕЖЭ
Просмотров 43 тыс.
Необычный румтур 🤭 #сашаспилберг00:59Необычный румтур 🤭 #сашаспилберг
Необычный румтур 🤭 #сашаспилбергSasha Spilberg
Просмотров 590 тыс.