Рубрика: Безопасность

Сначала немного про blind xss. Это разновидность хранимого (stored) xss, которая выполняется не сразу, а некогда после, например когда администратор откроет админ панель или любой другой интерфейс сайта, с …

На HTB есть учебная машинка в их академии. С ее помощью можно реализовать XSS и провести «фишинговую атаку». Вот так выглядит веб приложение. Мы можем вставить URL с изображением …

Сначала проведем сканирование nmap: Видим открытыми 80, 8080 и 22 порт. На 80 порту нас встречает некий сайт, ничего полезного там я не нашел, кроме endpoint-а /contact. Там есть …

Машинка выглядит вот так: Вопросы про открытые порты и прочее я пропущу в данной статье, так как это мало интересно. Основных заданий тут два. Забрать user.txt и root.txt флаги. …

Есть много ресурсов для обучения тестированию на проникновение, один из них это TryHackMe. Там в разделе Learn -> Practice есть бесплатные машины, разного уровня сложности, на которых можно потренироваться, …

Есть такой интересный инструмент для безопасности k8s, который умеет всякое и называется kyverno. Тут подробнее. Сегодня рассмотрим одну из возможностей мутирования манифестов пода, а именно мутирование imagePullPolicy. Рассматриваемый кейс …