log.058 admin / admin w aplikacji Biedronka backoffice. Jak zrobić pentest OSINT Sublist3r + nmap.

Discord: [ Ссылка ]
TLDR 5:31

Agile, Devops, CI w programowaniu skupia się na automatyzacji w dostarczaniu oprogramowania. Tymczasem jedna nieprawidłowo działająca linijka kodu dużo łatwiej do wykrycia na środowisku testowym może pozwolić wykorzystać lukę już w lepiej zabezpieczonym środowisku produkcyjnym.
Błędy mogą pojawić się na wielu etapach:
* konfiguracji infrastruktury jak firewall / Cloud Flare możemy nieopatrznie udostępnić wewnętrzne zasoby
* domyślne hasła lub słabe używane na czas developmentu przejdą na stage lub produkcję
* te same tokeny używane do zewnętrznych serwisów API
* brak anonimizacji danych mockupowych
Niezależnie od zaufania do profesjonalizmu developmentu, dział security powinien systematycznie skanować infrastrukturę w aktywnym poszukiwaniu anomalii, ponieważ błędy się zdarzają a dział QA nie jest w stanie złapać wszystkiego skupiając się na scenariuszach testowych funkcji biznesowych.

Dzisiaj przykład firmy, która rocznie ma ponad 30 mld EUR przychodu, ale w outsourcingu usług IT coś chyba poszło nie tak. Na początek użyjemy tool sublister, który służy do poszukiwania subdomen.
[ Ссылка ]
Po znalezieniu kilkunastu hostów skanujemy każdy z nich przy pomocy nmapa
[ Ссылка ]
Interesują nas głównie port 21 FTP, 22 SSH, 25 SMTP, 80/443/8080 HTTP, 1433/1521/3306 SQL
Jeden z hostów wydaje się dodatkowo interesujący, ponieważ na HTTP wystawiona jest ekran kopiowanie. Czysty zbieg okoliczności wpisanie "admin" i "admin" pozwala zalogować się do systemu.

W momencie publikacji tego materiału 2024-05-16 usługa została ściągnięta przez dostawcę. Materiał ma na celu pokazanie jak istotne są pentesty wewnątrz organizacji. Mimo najlepszych specjalistów IT błąd może zawsze się pojawić, a outscouring dodatkowo utrudnia śledzenie poczynań podwykonawców dostarczających gotowy produkt - piękno SaaS.

Disclaimer for moderation:
This video serves an educational purpose how to audit infrastructure to detect exposed services. The service provider has already resolved the issue, so it does not demonstrate existing exploits for this system.

#Sublist3r #hacking #hack #security #pentesting

Смотрите далее

🎧 аудиокнига "ВОР Беглец " | Это лучшая книга боевик

теленяня фрагмент эфира

Скала взгляд мем

Flora González 03/08/2024

Невероятный фильм про космос HD

МАРУСЯ РАЗ, ДВА, ТРИ КАЛИНА! ТАНЦЫ ХАРЬКОВ 2024 #retrodancing

Баскетбол куроко 4 фильм - Последняя игра (Jit.su)

Военная тайна с Игорем Прокопенко: Грязная изнанка Европы 03 08 24

islomiy juftlik, islomiy toʻy 😍😍 hammamizga shunaqa toʻylar nasib qilsin amin.

Victoria Matosa | Busty Girl | Instagram Videos

VLOG: Ну как их успокоить

Fantasy Forest Ambience

27 февраля 2022 г.

посидим #reels #automobile #юмор #sports #прикол #top #мем #топ #смех #собака

Ricchi e Poveri - Come Vorrei ("Malena"-Monica Bellucci)

Новые клипы

Тренды Люди и Блоги