Даниил Эдельстен

Web Application Penetration Testing (ВАПТ или WAPT) — это системный метод анализа безопасности веб‑приложений, который имитирует действия реального злоумышленника. В отличие от простого сканирования уязвимостей, где программа автоматически проверяет код и конфигурации, ВАПТ включает ручной анализ, моделирование атак и оценку бизнес‑логики.

В современных требованиях к вакансиям в области пентеста все чаще можно увидеть необходимость не только теоретического понимания принципов работы основных систем защиты (таких как WAF, EDR, NAC), но и наличия практического опыта по их обходу. Эта же тенденция распространяется и на системы EDR и антивирусы (AV). В отчетах о реальных кибератаках такж…

Введение: За пределами видимой сети

Обычный интернет, которым мы пользуемся ежедневно, кажется безграничным, но на самом деле он меркнет по сравнению с колоссальными масштабами DeepWeb и Darknet. Это обширное цифровое пространство таит в себе как риски, так и уникальные возможности, особенно для специалистов в области информационных те…

Привет, читатель. Статья больше про исследование и тестирование метода, я не пытаюсь навязать все нижеописанное и не заявляю что это 100% рабочее шифрование. Но как по мне идея шифрования через обобщение нейросетей достойна внимания.

Добро пожаловать в мир поиска и эксплуатации багов!

Итак, во время сканирования сайтов любым сканером вы, скорее всего, довольно часто обнаружите те или иные ошибки конфигурации SSL/TLS. Они действительно довольно распространены. В то же время этот тип уязвимостей, возможно, является одним из наименее освещённых среди всех уязвимостей…

Типичная история, когда вы проводите аудит безопасности, и хотите проэксплуатировать найденную уязвимость, либо просто разворачиваете учебный стенд и вам нужно срочно найти к примеру, рабочий скрипт загрузчика файлов через HTTP на Python, или PHP. Либо вам нужно выполнить какое-то простое действие, но вы не можете вспомнить синтаксис нужных команд.…

Дистрибутив Kali Linux невероятно популярен среди пентестеров. Однако при проникновении в сеть с настройками по умолчанию он может создать много шума в эфире, который не останется незамеченным.

В этой статье я расскажу о харденинге Kali и о том, как научить Linux работать в наиболее тихом режиме. Чтобы можно было автоматизировать настройку,…

Что такое реверс-инжиниринг?

Реверс-инжиниринг — это процесс получения скомпилированного двоичного файла и попытки воссоздать (или просто понять) первоначальный способ работы программы. Программист изначально пишет программу, обычно на языке высокого уровня, таком как C++ или Visual Basic (или, не дай Бог, Delphi). Поскольку компьютер…

Любой инструмент можно использовать как во вред, так и во благо. Точно так же с нейросетью. Она помогает хакерам писать убедительные фишинговые письма и вредоносные программы, но в то же время стоит на страже кибербеза.В этой статье я рассмотрел инструменты не только с ChatGPT, но и с аналогичными нейросетями (BARD AI, BingGPT). Но чтобы было проще…

Добрый день друзья. Сегодня я нашел платформу, которая сохраняет ВСЕ и дает доступ к этой платформе правоохранительным органам и спецслужбам. Это не реклама, никакие ссылки, названия и подсказки как ей пользоваться я давать не буду, это информация только для того чтобы вы понимали насколько небезопасно ваше общение в социальных сетях и мессенджерах…

Восстановление и уничтожение данных — две стороны одной медали. Чтобы знать, когда и как можно вернуть себе информацию, надо понимать и как она может быть уничтожена безвозвратно. А в некоторых ситуациях бывает просто необходимо: например, уничтожение корпоративной информации при утилизации оборудования, уничтожение ваших личных данных при передаче…

Добрый день, хочу начать писать здесь статьи про методы атаки и защиты от них на различные сайты, приложения или устройства. И начать я хочу именно с мобильных девайсов, которыми мы пользуемся каждый день и уже не представляем себе жизни без них. Недавно я увидел интереснейшую атаку по побочным каналам. Суть атаки заключается в распознавани…