Анна Васильева - Поиск уязвимостей IDOR (BOLA)

Поделиться
HTML-код
  • Опубликовано: 3 окт 2024
  • Ближайшая конференция - Heisenbug 2024 Autumn, 10 октября (Online), 17-18 октября (Санкт-Петербург + трансляция).
    Подробности и билеты: jrg.su/Tq0vcu
    - Ближайшая конференция: Heisenbug 2023 Autumn - 10-11 октября (online), 15-16 октября (offline)
    Подробности и билеты: bit.ly/3qd3swV
    - -
    Дополнительные навыки в нагрузочном тестировании, производительности, UX, безопасности, автоматизации и так далее помогают QA эффективнее повышать качество в своем продукте. QA, имея знания в тестировании безопасности, может быть евангелистом безопасности в своей команде (Security Champion).
    С чего обычно начинают знакомиться с тестированием безопасности - пентестом? Пробуют перебрать пароли от какого-либо сервиса (брутфорс). Знакомятся с OWASP Top 10 и начинают искать XSS, добавляя в поля img src=x onerror=alert('XSS');.
    Но начинать, по мнению спикера, лучше всего с IDOR (BOLA). Эта уязвимость очень простая и часто встречается в различных сервисах.
    На мастер-классе вы научитесь искать IDOR. Он будет полезен всем, кто хочет начать тестировать безопасность в своем продукте и вместе поискать IDOR с помощью инструмента Burp Suite.
    Для участия в мастер-классе необходимо:
    Поставить Burp Suite Community: portswigger.ne...
    Настроить проксирование Burp: portswigger.ne...
    Установить расширение Autorize:
    - Скачать jython standalon: www.jython.org...
    - На вкладке Extender/Options добавить его в Python Enviroment
    - Перейти на вкладку Extender/BApp Store - выбрать слева Autorize, справа нажать install.
    #security #pentest #idor #owasp_top_10

Комментарии • 10

  • @ЭдуардГибадуллин-ц5к
    @ЭдуардГибадуллин-ц5к Год назад +1

    Большое спасибо 😊😊😊

  • @delvig6699
    @delvig6699 Год назад +1

    Спасибо большое за видео!Анна очень понятно рассказала и я узнал много интересного

  • @ЖекаДмитренко-ж1б
    @ЖекаДмитренко-ж1б Год назад +1

    Благодарю

  • @Котики-с9б9к
    @Котики-с9б9к Год назад +1

    28:30 один рубль на одну копейку)?

  • @Bob-vv4zw
    @Bob-vv4zw Год назад +2

    Анна а ты на хакеруане нашла хоть 1 уязвимость за которую заплатили?

  • @БорисМарьин-ш7ж
    @БорисМарьин-ш7ж Год назад

    Начало 3:29

  • @bananasba
    @bananasba Год назад +1

    Очевидно, что найти все уязвимости так невозможно и все равно долго, нужно решать вопрос на уровне проектирования

    • @annavasilyeva3076
      @annavasilyeva3076 Год назад

      Хорошая аналитика исключает тестирование? Нет? - в безопасности так же. Поэтому и нужны пентесты

Следующие
Автовоспроизведение
Анна Кириенко - Процесс автоматизации тестирования микрофронтенда, или Как сделать все удобно45:11Анна Кириенко — Процесс автоматизации тестирования микрофронтенда, или Как сделать все удобно
Анна Кириенко - Процесс автоматизации тестирования микрофронтенда, или Как сделать все удобноHeisenbug
Просмотров 324
Почему SSRF становится такой популярной уязвимостью14:43Почему SSRF становится такой популярной уязвимостью
Почему SSRF становится такой популярной уязвимостьюПолосатый ИНФОБЕЗ
Просмотров 1,5 тыс.
Алексей Морозов - Экзотические уязвимости в питонячем стеке46:56Алексей Морозов — Экзотические уязвимости в питонячем стеке
Алексей Морозов - Экзотические уязвимости в питонячем стекеPiterPy
Просмотров 496
We're Back.28:37We're Back.
We're Back.Alpharad Platinum
Просмотров 203 тыс.
SC pilot's rescue mission thwarted due to arrest threat06:38SC pilot's rescue mission thwarted due to arrest threat
SC pilot's rescue mission thwarted due to arrest threatQueen City News
Просмотров 1,2 млн
Tim Walz and His Rescue Dog Scout | WeWalkDogs17:16Tim Walz and His Rescue Dog Scout | WeWalkDogs
Tim Walz and His Rescue Dog Scout | WeWalkDogsWeRateDogs
Просмотров 211 тыс.
Is This The FINAL Episode of The Simpsons? - Season 3611:24Is This The FINAL Episode of The Simpsons? - Season 36
Is This The FINAL Episode of The Simpsons? - Season 36The Simpsons Theory
Просмотров 570 тыс.
Кирилл Набутов о ядерных угрозах Путина, «Невзлингейте» и отравлении Навального21:37Кирилл Набутов о ядерных угрозах Путина, «Невзлингейте» и отравлении Навального
Кирилл Набутов о ядерных угрозах Путина, «Невзлингейте» и отравлении НавальногоBILD на русском
Просмотров 3,8 тыс.
Алексей Федулаев и Андрей Моисеев - Базовые принципы гигиены CI/CD50:15Алексей Федулаев и Андрей Моисеев — Базовые принципы гигиены CI/CD
Алексей Федулаев и Андрей Моисеев - Базовые принципы гигиены CI/CDSafeCode
Просмотров 270
Начинаем в багбаунти: как найти первую SSRF1:19:58Начинаем в багбаунти: как найти первую SSRF
Начинаем в багбаунти: как найти первую SSRFStandoff 365
Просмотров 3,4 тыс.
Василий Кудрявцев - Нагрузочное тестирование на прод: сложный путь, но great success47:40Василий Кудрявцев — Нагрузочное тестирование на прод: сложный путь, но great success
Василий Кудрявцев - Нагрузочное тестирование на прод: сложный путь, но great successHeisenbug
Просмотров 448
Finding Your First Bug: Manual IDOR Hunting33:28Finding Your First Bug: Manual IDOR Hunting
Finding Your First Bug: Manual IDOR HuntingInsiderPhD
Просмотров 77 тыс.
Easy IDOR hunting with Autorize? (GIVEAWAY)23:58Easy IDOR hunting with Autorize? (GIVEAWAY)
Easy IDOR hunting with Autorize? (GIVEAWAY)InsiderPhD
Просмотров 35 тыс.
Роман Помелов - Слоеный фреймворк автотестирования на стеке. Архитектура, примеры и подводные камни45:01Роман Помелов — Слоеный фреймворк автотестирования на стеке. Архитектура, примеры и подводные камни
Роман Помелов - Слоеный фреймворк автотестирования на стеке. Архитектура, примеры и подводные камниHeisenbug
Просмотров 866
Сети для несетевиков // OSI/ISO, IP и MAC, NAT, TCP и UDP, DNS21:27Сети для несетевиков // OSI/ISO, IP и MAC, NAT, TCP и UDP, DNS
Сети для несетевиков // OSI/ISO, IP и MAC, NAT, TCP и UDP, DNSYuriy Semyenkov
Просмотров 27 тыс.
Никита Жевелков - Проектирование, разработка, поддержка тестов обновлений монолитной архитектуры37:04Никита Жевелков — Проектирование, разработка, поддержка тестов обновлений монолитной архитектуры
Никита Жевелков - Проектирование, разработка, поддержка тестов обновлений монолитной архитектурыHeisenbug
Просмотров 164
БАГ ЕЩЕ РАБОТАЕТ?00:26БАГ ЕЩЕ РАБОТАЕТ?
БАГ ЕЩЕ РАБОТАЕТ?Дядь Андрей
Просмотров 123 тыс.
Вопрос Ребром - Серго43:16Вопрос Ребром - Серго
Вопрос Ребром - СергоGAZ LIVE
Просмотров 1,7 млн
Lp. Сердце Вселенной #23 ЛЮБОЕ ЖЕЛАНИЕ [Джин] • Майнкрафт38:57Lp. Сердце Вселенной #23 ЛЮБОЕ ЖЕЛАНИЕ [Джин] • Майнкрафт
Lp. Сердце Вселенной #23 ЛЮБОЕ ЖЕЛАНИЕ [Джин] • МайнкрафтMrLololoshka (Роман Фильченков)
Просмотров 726 тыс.
А была ли Империя? Империя без автомобилей. Эпизод II1:14:58А была ли Империя? Империя без автомобилей. Эпизод II
А была ли Империя? Империя без автомобилей. Эпизод IIАсафьев Стас
Просмотров 738 тыс.
#kikakim00:10#kikakim
#kikakimKika Kim
Просмотров 14 млн
Eronning Isroilga raketa zarbasi va Rossiyaning urush uchun xarajatlari - 2-oktabr dayjesti08:45Eronning Isroilga raketa zarbasi va Rossiyaning urush uchun xarajatlari — 2-oktabr dayjesti
Eronning Isroilga raketa zarbasi va Rossiyaning urush uchun xarajatlari - 2-oktabr dayjestiKunUZ
Просмотров 749 тыс.
Сотни ракет Ирана, тревога по всей стране, стрельба в Тель-Авиве: Израиль после вторжения в Ливан08:55Сотни ракет Ирана, тревога по всей стране, стрельба в Тель-Авиве: Израиль после вторжения в Ливан
Сотни ракет Ирана, тревога по всей стране, стрельба в Тель-Авиве: Израиль после вторжения в ЛиванRTVI Новости
Просмотров 1,5 млн
ЭТИ ДУХИ ДОЛЖНЫ БЫТЬ У КАЖДОЙ | моя КОЛЛЕКЦИЯ ПАРФЮМОВ57:03ЭТИ ДУХИ ДОЛЖНЫ БЫТЬ У КАЖДОЙ | моя КОЛЛЕКЦИЯ ПАРФЮМОВ
ЭТИ ДУХИ ДОЛЖНЫ БЫТЬ У КАЖДОЙ | моя КОЛЛЕКЦИЯ ПАРФЮМОВAnastasiz
Просмотров 583 тыс.