Hunt Or Be Hunted

Я исследую веб‑безопасность и делюсь практическими разбориками уязвимостей: от CSRF и XXE до Server‑Side XSS, race conditions и обходов CSP. Пишу чек‑листы атак и защиты, редкие кейсы из практики и мысли о мышлении пентестера. Только прикладной AppSec, понятные примеры и то, что реально встречается в проде. Учимся охотиться, пока на нас не охотятся.

41 публикаций•@hun7_0r_b3_hun73d

Открыть в Telegram

31 июл. 2024 г.·dvsa

DVSA — CTF-like приложение для тренировки уязвимостей

Проект DVSA — CTF-like приложение с 25 уязвимостями (SQLi, SSRF, XXE, Insecure Deserialization и др.) для практики; запуск через docker-compose.

Читать публикацию

25 июл. 2024 г.·sqli

Cheatsheet по SQL Injection

Короткая рекомендация на cheatsheet по SQLi (tib3rius) с примерами payload'ов для популярных СУБД — полезно для AppSec.

Читать публикацию

13 июл. 2024 г.·os command injection

OS command injection

Краткое объяснение OS command injection (shell-инъекция): пример полезной нагрузки, влияние (RCE) и рекомендации по защите.

Читать публикацию

7 июл. 2024 г.·sql injection

SQL Injection (SQLi)

Краткий обзор уязвимости SQL injection: типы (Error-, Union-, Blind, Time-, Out‑of‑Bound, Second‑Order), пример полезной нагрузки и защита через prepared statements.

Читать публикацию

3 апр. 2024 г.·xss

Cross-Site Scripting (XSS)

Краткое вводное о Cross-Site Scripting (XSS): типы (reflected, stored, DOM), пример полезной нагрузки и базовые способы защиты.

Читать публикацию

← НазадСтраница 4 из 4