В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

WebPwnChat

1187 membersпожаловаться на группу
2020 September 28

MH

Max Harpsiford in WebPwnChat
Для этого варианта нужно:

1. поменять системный hosts (listener_ip hostname), чтобы хостнейм резолвился на твой listener
2. добавить маппинг hostname <-> ip в бурпе (project options)

3. В Proxy > Settings выбери свой listener. Там включи галочку Invisible proxying, поменяй порт на 443, локальный адрес на 127.0.0.1 или любой другой из выпадающего меню (тот, который ты записал в хостс). Во второй вкладке введи хостнейм сайта, который ты добавил в настройки проекта, порт (443) и включи Force use of TLS

Ну и в браузере настройки прокси надо будет убрать)
источник
00:11пожаловаться#1

MH

Max Harpsiford in WebPwnChat
Web Security
Я думаю, гугл анализирует трафик на более низком уровне, например, на ttl на сетевом ур-не
Крайне маловероятно. Откуда они знают нормальный ттл для твоего конкретного компа в твоей конкретной сети? Не, попробуй вайршарком перехватить и посмотреть реальные запросы
источник
00:12пожаловаться#2

WS

Web Security in WebPwnChat
Max Harpsiford
Для этого варианта нужно:

1. поменять системный hosts (listener_ip hostname), чтобы хостнейм резолвился на твой listener
2. добавить маппинг hostname <-> ip в бурпе (project options)

3. В Proxy > Settings выбери свой listener. Там включи галочку Invisible proxying, поменяй порт на 443, локальный адрес на 127.0.0.1 или любой другой из выпадающего меню (тот, который ты записал в хостс). Во второй вкладке введи хостнейм сайта, который ты добавил в настройки проекта, порт (443) и включи Force use of TLS

Ну и в браузере настройки прокси надо будет убрать)
Пасеба
источник
00:12пожаловаться#3

EI

Evil Intruder in WebPwnChat
1.4.7/12
Не так
Тогда почему http://www.pythonchallenge.com/pc/def/ выдает 404 хотя есть http://www.pythonchallenge.com/pc/def/bee.html
источник
10:07пожаловаться#4

BF

Billy Fox in WebPwnChat
Evil Intruder
Тогда почему http://www.pythonchallenge.com/pc/def/ выдает 404 хотя есть http://www.pythonchallenge.com/pc/def/bee.html
1) Не все читают RFC
2) Поведение вебсервера может быть сделано несколько нестандартным, чтобы смутить атакующих
источник
10:21пожаловаться#5

BF

Billy Fox in WebPwnChat
Кучу раз видел ситуации, когда сервер отвечал 404, даже когда на нём точно была директория, в которую я обращался
источник
10:24пожаловаться#6

А

Алексей in WebPwnChat
Evil Intruder
Тогда почему http://www.pythonchallenge.com/pc/def/ выдает 404 хотя есть http://www.pythonchallenge.com/pc/def/bee.html
Простой пример реализации - .htaccess /dir/ -> 404, /dir/file - исполнение
источник
10:35пожаловаться#7

EI

Evil Intruder in WebPwnChat
Как тогда работает Гугловский site: неужели тупо перебирает
источник
10:36пожаловаться#8

А

Алексей in WebPwnChat
Evil Intruder
Как тогда работает Гугловский site: неужели тупо перебирает
Кравл, сбор данных из браузера?
источник
10:37пожаловаться#9

EI

Evil Intruder in WebPwnChat
Т.е. У них есть БД по каждому сайту, составленная на основании пользовательских обращений, и если никто не заходил на страничку то Гугл ее не найдёт?
источник
10:39пожаловаться#10

h

hack_lol in WebPwnChat
Evil Intruder
Т.е. У них есть БД по каждому сайту, составленная на основании пользовательских обращений, и если никто не заходил на страничку то Гугл ее не найдёт?
Если ты создал страницу, которую не видно по прямому запросу к сайту, если на нее нет ссылок, если никто не заходил на нее браузером, если ссылка на эту страницу не отправлялась в почте и мессанджерах (Skype, duo, hangout,...) То ее скорее всего не будет в индексе поисковиков.
источник
10:43пожаловаться#11

EI

Evil Intruder in WebPwnChat
Просто хочу понять, насколько оправдан перебор всех вариантов по широкой маске. Перебор займёт несколько часов, но будет ли он намного информативней того же запроса поисковиком
источник
10:46пожаловаться#12

EI

Evil Intruder in WebPwnChat
Сел писать скрипт, который перебирает все возможные комбинации из цифр и букв, а теперь не уверен нужен ли он вообще))
источник
10:50пожаловаться#13

自閉症のポイント... in WebPwnChat
Evil Intruder
Сел писать скрипт, который перебирает все возможные комбинации из цифр и букв, а теперь не уверен нужен ли он вообще))
Почему просто не прогнать по словарику?
источник
10:52пожаловаться#14

自閉症のポイント... in WebPwnChat
Одной из кучи доступных для этого утилит
источник
10:52пожаловаться#15

EI

Evil Intruder in WebPwnChat
Смысл закрыть не 99% а 100%
источник
10:53пожаловаться#16

自閉症のポイント... in WebPwnChat
Ну боюсь за свою жизнь 100% ты не закроешь, перебирая все возможные комбинации
источник
10:53пожаловаться#17

EI

Evil Intruder in WebPwnChat
Зависит от максимальной длинны ссылки, 5 символов для одного уровня, я перебираю часа за 4, больше не хочу ставить чтоб не было нагрузок на сайт
источник
10:57пожаловаться#18

BF

Billy Fox in WebPwnChat
Evil Intruder
Смысл закрыть не 99% а 100%
У тебя несколько лет боюсь уйдёт на такую разведку
источник
11:06пожаловаться#19

B

Bo🦠oM in WebPwnChat
Ну если он хочет закрыть 100% файлов только из 6 символов, то ок)
источник
11:08пожаловаться#20