Анна Васильева - Поиск уязвимостей IDOR (BOLA)
ฝัง
- เผยแพร่เมื่อ 11 ก.พ. 2025
- Ближайшая конференция - Heisenbug 2025 Spring, 5-6 апреля (Москва + онлайн-трансляция).
Подробности и билеты: jrg.su/Tq0vcu
- Ближайшая конференция: Heisenbug 2023 Autumn - 10-11 октября (online), 15-16 октября (offline)
Подробности и билеты: bit.ly/3qd3swV
- -
Дополнительные навыки в нагрузочном тестировании, производительности, UX, безопасности, автоматизации и так далее помогают QA эффективнее повышать качество в своем продукте. QA, имея знания в тестировании безопасности, может быть евангелистом безопасности в своей команде (Security Champion).
С чего обычно начинают знакомиться с тестированием безопасности - пентестом? Пробуют перебрать пароли от какого-либо сервиса (брутфорс). Знакомятся с OWASP Top 10 и начинают искать XSS, добавляя в поля img src=x onerror=alert('XSS');.
Но начинать, по мнению спикера, лучше всего с IDOR (BOLA). Эта уязвимость очень простая и часто встречается в различных сервисах.
На мастер-классе вы научитесь искать IDOR. Он будет полезен всем, кто хочет начать тестировать безопасность в своем продукте и вместе поискать IDOR с помощью инструмента Burp Suite.
Для участия в мастер-классе необходимо:
Поставить Burp Suite Community: portswigger.ne...
Настроить проксирование Burp: portswigger.ne...
Установить расширение Autorize:
- Скачать jython standalon: www.jython.org...
- На вкладке Extender/Options добавить его в Python Enviroment
- Перейти на вкладку Extender/BApp Store - выбрать слева Autorize, справа нажать install.
#security #pentest #idor #owasp_top_10
![TIMETHAI - ไม่อยากให้เป็นเขา (Why tho?) [OFFICIAL MV]](http://i.ytimg.com/vi/o2qYlGVVtOw/mqdefault.jpg)
