Если понял - ставь реакцию)

🧠 Почему инструменты — не главное в пентесте

Новички почти всегда начинают с одного вопроса:

> «Какие инструменты нужно выучить?»

nmap?
Burp?
sqlmap?
Metasploit?

Но правда в том, что инструменты — это всего лишь усилители.
Они не делают тебя пентестером.


🔍 Что на самом деле важно

Важнее инструмента — понимание:

- как работает HTTP
- как устроена аутентификация
- как данные превращаются в запрос
- где может ломаться логика приложения
- как связать мелкие баги в цепочку

Без этого любой инструмент превращается в «кнопку наугад».

⚠️ Типичная ошибка новичков

Сценарий:

1. Запустить сканер
2. Не понять, что он нашёл
3. Запустить ещё один
4. Снова не понять

Инструмент работает.
Мышление — нет.


🛠 Что делают опытные пентестеры

- сначала строят гипотезу
- потом проверяют её вручную
- и только затем используют автоматизацию

Они используют инструменты,
а не зависят от них.


🎯 Простой пример

sqlmap может найти SQLi.
Но он не объяснит:

- почему именно этот параметр уязвим
- как это связано с логикой приложения
- какой бизнес-ущерб возможен

Это понимает только человек.

📌 Выводы

Инструменты важны.
Но они — вторичны.

Сначала:

- понимание
- логика
- модель угроз

Потом — nmap и Burp.

Если убрать у тебя инструменты —
останется ли способность думать?

Вот в этом и разница между «пользователем Kali»
и пентестером.

#pentest #mindset #base #tools

🔍 Как анализировать ответы сервера (и находить то, что другие не замечают)

Большинство новичков смотрят только на одно:

> Статус-код.

200 — ок  
403 — запрет  
500 — ошибка  

Но по-настоящему начинаем анализировать только после:

🧠 1. Не верь только статус-коду

Иногда:

- 403 в статусе
- но в теле ответа есть данные

Или:

- 200 OK
- но действие не выполнено

📌 Статус — это сигнал.
Тело ответа — это истина.

📦 2. Смотри на тело ответа (Body)

Обращай внимание на:

- Изменилось ли содержимое?
- Появились ли новые поля?
- Есть ли stack trace?
- Есть ли SQL / internal ошибки?
- Есть ли скрытые параметры?

Иногда разница всего в одном слове.

🏷 3. Анализируй заголовки (Headers)

Headers часто палят:

- тип сервера
- версии технологий
- куки и флаги безопасности
- редиректы
- CORS-настройки

Set-Cookie и Location — твои лучшие друзья.

⏱️ 4. Следи за временем ответа

Если ответ:

- стал медленнее
- реагирует на спецсимволы
- «задумывается»

Это может быть:

- blind SQLi
- фильтрация
- серверная логика

Иногда уязвимость видно не глазами, а секундомером.


🔄 5. Сравнивай ответы

Измени:

- ID
- роль пользователя
- параметр
- токен

И сравни ответы.

Даже если они визуально одинаковые —
сравни длину, структуру, JSON-поля.

🎯 Главное правило

Каждый ответ сервера — это:

> Подсказка.

Пентестер не просто отправляет запросы.
Он читает ответы.

И именно там прячется 80% уязвимостей.

#pentest #web #mindset #base

🧪 Практическая задача по пройденному материалу)

Ты авторизован в веб-приложении как обычный пользователь.

Перехватываешь запрос:

GET /api/user?id=102  
Cookie: session=abc123

Ответ сервера:

HTTP/1.1 200 OK
Content-Type: application/json

{
  "id": 102,
  "name": "Ivan",
  "role": "user"
}

Всё выглядит нормально.


Теперь ты меняешь параметр:

GET /api/user?id=101

И получаешь:

HTTP/1.1 200 OK

{
  "id": 101,
  "name": "Admin",
  "role": "admin"
}

❓ Вопросы:

1. Что здесь происходит?
2. Какая уязвимость возможна?
3. Что ты проверишь дальше?

Пишите варианты в комментариях 👇
Утром разберём.

🔍 Разбор практической задачи

Вчерашняя задача — классический пример логической уязвимости.

Мы изменили только параметр id
и получили данные другого пользователя.

🎯 Что это?

Это признак IDOR (Insecure Direct Object Reference).

Сервер:
- проверяет, существует ли ID
- но не проверяет, имеет ли текущий пользователь право его видеть

Статус 200 OK здесь не означает «всё безопасно».

🧠 Что важно заметить

1. Код ответа не изменился
2. Сервер различает существующие и несуществующие ID
3. Отсутствует контроль доступа на уровне объекта

🔎 Куда пойдем дальше?

- Доступ к другим ID
- Можно ли менять роль через запрос
- Можно ли редактировать чужие данные
- Есть ли скрытые параметры

📌 ЗАПОМИНАЕМ

Большинство уязвимостей — это не ошибки кода,
а ошибки логики.

Не верь статус-коду.
Сравнивай ответы.
Меняй параметры.

Так найдется много всего интересного😉.

#pentest #web #practice #idor

🌐 Как работает HTTP (и зачем это понимать пентестеру)

HTTP — это протокол, по которому браузер общается с сервером.

Если прям на пальцах:

> Ты отправляешь запрос → сервер возвращает ответ.

Всё, что происходит в вебе, строится на этой модели.

🔄 Базовая схема

1️⃣ Клиент (браузер) отправляет **запрос**
2️⃣ Сервер его обрабатывает
3️⃣ Сервер возвращает **ответ**

📤 Что такое HTTP-запрос

Запрос состоит из:

1. Стартовой строки

GET /profile?id=12 HTTP/1.1

2. Заголовков (Headers)

Host: example.com
Cookie: session=abc123
User-Agent: Chrome

3. Тела запроса (Body)
(используется в POST/PUT)


📥 Что такое HTTP-ответ

Ответ тоже состоит из трёх частей:

1. Статус-код

HTTP/1.1 200 OK

2. Заголовки

Content-Type: application/json
Set-Cookie: role=user

3. Тело ответа

{
"name": "Ivan",
"role": "user"
}

📊 Основные статус-коды

- 200 — успешно
- 301/302 — редирект
- 400 — ошибка запроса
- 401 — не авторизован
- 403 — доступ запрещён
- 404 — не найдено
- 500 — ошибка сервера

⚠️ Но статус-код — это только сигнал.
Настоящая информация часто в теле ответа.

🧠 Почему это критично для пентестера

Пентестер не «ломает сайт».
Он:

- меняет параметры
- анализирует ответы
- сравнивает различия
- ищет доверие со стороны сервера

Если ты не понимаешь HTTP —
ты не понимаешь, что именно происходит.

🎯 ВЫВОДЫ

Веб-пентест — это:

> управление запросами
> и анализ ответов.

Burp, nmap и сканеры — это инструменты.
HTTP — это фундамент.

#pentest #web #base #http

В новой версии Notepad обнаружена уязвимость CVE-2026-20841 (CVSS 8.8) - command injection через .md-файлы.
Сценарий атаки простой:
пользователю отправляют вредоносный Markdown-файл → он открывает его → через механизм предпросмотра выполняются команды в системе.

Фактически это remote code execution от имени пользователя.
Затронуты версии Notepad 11.0.0–11.2509. Исправление выпущено 10 февраля (build 11.2510+).

Что это значит на практике:
- риск реален для компаний (фишинг через вложения .md);
- обычные пользователи тоже уязвимы, если открывают файлы "снаруж";
- эксплойт не требует сложной подготовки.

Что делать:
- обновить Notepad/Windows;
- отключить preview Markdown и ссылок, если не используется;
- не открывать .md из почты, Telegram и внешних источников.

Удачи!

🛠 Инструменты пентестера | nmap

━━━━━━━━━━━━━━━━━━
🧠 ЧТО ТАКОЕ NMAP НА САМОМ ДЕЛЕ
━━━━━━━━━━━━━━━━━━
nmap — это не просто «сканер портов».

В реальной работе nmap — это:
• инструмент разведки
• способ понять поверхность атаки
• источник гипотез для дальнейшего пентеста

nmap отвечает на главный вопрос:
👉 *«С чем мы вообще имеем дело?»*

━━━━━━━━━━━━━━━━━━
🎯 ЗАЧЕМ NMAP НУЖЕН ПЕНТЕСТЕРУ
━━━━━━━━━━━━━━━━━━
nmap позволяет:

• обнаружить активные хосты в сети
• определить открытые порты и сервисы
• узнать версии сервисов и ОС
• понять сетевую топологию
• найти потенциальные уязвимости через NSE

Это стандарт де-факто для начального этапа
сбора информации (recon).

━━━━━━━━━━━━━━━━━━
⚠️ ВАЖНЫЙ МОМЕНТ
━━━━━━━━━━━━━━━━━━
Частая ошибка новичков — думать, что:
❌ nmap = пентест
❌ чем больше ключей, тем лучше
❌ вывод nmap = уязвимости

На самом деле:
nmap не даёт ответов,
он даёт данные для анализа.

━━━━━━━━━━━━━━━━━━
🧠 КАК ПЕНТЕСТЕР ИСПОЛЬЗУЕТ NMAP
━━━━━━━━━━━━━━━━━━
Правильный подход:

1️⃣ Получили вывод nmap
2️⃣ Задали вопросы к результату
3️⃣ Поняли, *почему* сервис здесь открыт
4️⃣ Решили, *что проверять дальше*

То есть nmap — это начало цепочки,
а не её конец.

━━━━━━━━━━━━━━━━━━
📌 ВЫВОД
━━━━━━━━━━━━━━━━━━
nmap — фундаментальный инструмент,
но его сила не в командах, а в интерпретации результата.

Хороший пентестер:
• не «сканирует всё подряд»
• понимает, что и зачем он сканирует
• использует nmap как часть мышления

📘 ОФИЦИАЛЬНЫЙ МАНУЛ (RU):
━━━━━━━━━━━━━━━━━━
https://nmap.org/man/ru/index.html

#tools #nmap #pentest #base

🛠 Инструменты пентестера | Burp Suite

Продолжаем рубрику «Инструменты».
После разведки сети и сервисов (nmap)
логично перейти к анализу прикладного уровня.

Здесь на сцену выходит Burp Suite.

━━━━━━━━━━━━━━━━━━
🧠 ЧТО ТАКОЕ BURP SUITE
━━━━━━━━━━━━━━━━━━
Burp Suite — это инструмент для анализа и тестирования
веб-приложений и API.

Если nmap показывает *что* открыто,
то Burp позволяет понять:
👉 *как именно приложение общается с клиентом*.

━━━━━━━━━━━━━━━━━━
🎯 ЗАЧЕМ BURP НУЖЕН ПЕНТЕСТЕРУ
━━━━━━━━━━━━━━━━━━
Burp Suite позволяет:

• перехватывать и анализировать HTTP / HTTPS-трафик
• понимать логику запросов и ответов
• тестировать авторизацию и роли
• искать логические ошибки и trust-issues
• вручную проверять гипотезы

Это основной инструмент веб-пентеста.

━━━━━━━━━━━━━━━━━━
⚠️ ВАЖНЫЙ МОМЕНТ
━━━━━━━━━━━━━━━━━━
Частая ошибка — думать, что:
❌ Burp = автоматический взлом
❌ достаточно включить Scanner
❌ главное — знать кнопки

На самом деле Burp —
это лупа для анализа, а не магия.

━━━━━━━━━━━━━━━━━━
🧠 КАК ПЕНТЕСТЕР ИСПОЛЬЗУЕТ BURP
━━━━━━━━━━━━━━━━━━
Правильный подход:

1️⃣ Перехватить и изучить запрос
2️⃣ Понять, какие параметры реально важны
3️⃣ Задать вопрос: «А что если изменить это?»
4️⃣ Проверить гипотезу вручную
5️⃣ Только потом — автоматизация

━━━━━━━━━━━━━━━━━━
📘 ДОКУМЕНТАЦИЯ
━━━━━━━━━━━━━━━━━━
Официальный сайт:
https://portswigger.net/burp

━━━━━━━━━━━━━━━━━━
📌 ВЫВОД
━━━━━━━━━━━━━━━━━━
Burp Suite — это фундаментальный инструмент
для понимания веб-логики.

Он не ищет уязвимости «за вас»,
он помогает найти их самому.

#tools #nmap #pentest #base

OSI - модель, в пентесте без знаний данной модели делать нечего!

Очень важно при тестировании приложений знать на каком уровне происходят определенные процессы.

1️⃣ Физический уровень (Physical)

Передаёт биты по проводам, оптоволокну или через Wi-Fi.
Это сигналы, напряжение, частоты — чистая физика.

2️⃣ Канальный уровень (Data Link)

Упаковывает данные в кадры и передаёт их внутри одной сети.
Работает с MAC-адресами.

3️⃣ Сетевой уровень (Network)

Определяет маршрут передачи данных между сетями.
Работает с IP-адресами.
Главный протокол — IP.

4️⃣ Транспортный уровень (Transport)

Доставляет данные от приложения к приложению.
Контролирует скорость и целостность.
Примеры: TCP (надёжно), UDP (быстро).

5️⃣ Сеансовый уровень (Session)

Устанавливает, поддерживает и завершает соединение между устройствами.

6️⃣ Уровень представления (Presentation)

Отвечает за формат данных: шифрование, сжатие, кодировку.

7️⃣ Прикладной уровень (Application)

Самый «близкий к пользователю».
Протоколы: HTTP, FTP, SMTP, DNS.

В Испании задержали 20-летнего хакера, который годами жил в люксовых отелях, платя за ночи по одному евроценту

Вместо тысяч евро он вносил символическую сумму, пользуясь уязвимостью в системе онлайн-бронирования. Об этом сообщает информационное агентство Belga со ссылкой на заявление Национальной полиции...

⠀

Мошенник выбирал оплату через известную международную платформу, а затем вмешивался в проверку транзакции, добиваясь одобрения после перевода копеечной суммы. В момент ареста он жил в фешенебельном отеле в Мадриде, размещённом в бывшем дворце. Четырёхдневное пребывание за 4 тысячи евро обошлось ему всего в 4 цента.

⠀

В этой же гостинице испанец останавливался не раз. Общий ущерб отелю превысил 20 тысяч евро. При этом он активно пользовался мини-баром, заказывая напитки и закуски, которые входили в тариф, но по факту тоже не оплачивались...

⠀

Расследование началось после жалобы от турагентства 2 февраля. Внешне всё выглядело обычно: система показывала полную стоимость и стандартную процедуру оплаты. Обман вскрылся через несколько дней, когда платформа перевела компании реально уплаченную сумму – по центу за каждое бронирование.

⠀

В полиции уточнили, что подобного мошенничества в Испании ещё не фиксировали. Задержанному грозит уголовное дело преследование за компьютерное мошенничество. Отельеры теперь наверняка усилят контроль за платежами .

🔎 Web Pentest: Что делать, если открыт только 80 порт?

Сохрани себе. Это базовый алгоритм.

1️⃣ Первичный осмотр

— Открыть сайт в браузере
— Посмотреть исходный код страницы
— Проверить заголовки ответа сервера
— Проверить favicon (иногда палит CMS)
— Проверить robots.txt

2️⃣ Определение технологий

— Запустить whatweb
— Определить веб-сервер (Apache / Nginx)
— Определить язык (PHP / ASP / Node)
— Проверить версии

Пример команды:

whatweb http://TARGET

3️⃣ Directory / File Brute Force

/admin
/login
/backup
/uploads
/dev
/test
/api

Инструменты:
— gobuster
— feroxbuster

4️⃣ Анализ параметров

?id=
?page=
?file=
?search=

Проверяем:

SQL Injection
XSS
IDOR
LFI

Выложил подобный чек лист, так как часто при тестировании приложений нахожу, что открыт 80 порт, а это значит вся атака строится вокруг веба. Также не забываем проверять логику приложения, а именно:

— Можно ли менять ID вручную?
— Есть ли скрытые функции?
— Есть ли upload?
— Есть ли reset password?

✍️ Добавляйте в комментарии, на что еще нужно обратить внимание при обнаружении открытого 80 порта. Возможно у кого-то есть свои чек листы, будет интересно глянуть!

#practice #ctf

Подготовил небольшую задачку по прошлому посту🤔

Есть цель:

IP: 10.10.10.47

Результат сканирования:

PORT     STATE SERVICE
22/tcp   open  ssh
80/tcp   open  http

Открываем сайт и видим:

“Welcome to our company website”

И больше ничего😳 Ни форм, ни ссылок...robots.txt пустой, технологий не видно.

👉 Вопрос:

Что ты делаешь дальше?

PS...тут нет “единственно правильного” ответа — интересен ход мыслей. Завтра выложу разбор

РАЗБОР ПРАКТИЧЕСКОЙ ЗАДАЧИ

Спасибо всем за обратную связь. Большинство мыслит в правильном направлении по поводу использования перебора директорий. Ниже расписал СВОЙ план действий:

1️⃣ Если страница выглядит пустой —
это НЕ значит, что нет скрытых директорий.

gobuster dir -u http://10.10.10.47 -w /usr/share/seclists/Discovery/Web-Content/common.txt

Очень часто на таких “пустых” сайтах находятся:
/admin
/dev
/test
/backup
/uploads

2️⃣ Проверяем поддомены

gobuster vhost ...
amass enum ...

Иногда основной сайт пустой,
а dev.site.local — живой.

3️⃣ Проверяем HTTP-методы

curl -X OPTIONS http://10.10.10.47 -I

Иногда открыт PUT 👀

Если сайт “пустой” —
значит копать нужно глубже.

Большинство машин ломаются не через “главную страницу”,
а через скрытый функционал.

Парни, хочу собрать всё своё мясо по Linux для пентеста в один короткий курс. Только практика, без воды. Цена будет в районе 39€.
Первым 10 участникам цена 29 евро + с вас отзыв
Кому актуально - ставьте 🔥, чтобы я знал, что тема вам интересна

Закинул в один свой паблик вот такой скрин и меня начали дизить за то, что я какую-то фейковую инфу публикую. Что типа нет таких зарплат в США, что это фейки все, что на одно место 500 человек, что ИИ забирает работу у киберщиков.

1) я не утверждал, что везде такие зарплаты, просто попалось - заскринил - отдал, понятно можно и за 80к устроиться на начальном этапе

2) фейки .... нет я слышал, что в сфере ИТ много фейковых вакансий, но меня стали уверять, что там 80% вакансий фейк. Что за бред? Откуда эта статистика ?

3) на одно место 500 человек. Я могу еще поверить про QA, что там 500, хотя не всегда и не везде, но чтобы на кибер, але народ) кибер - самая незаполненная сфера в ИТ

4) ии забирает работу у спецов по киберу, ля ни одного случая не слышал, чтобы забрали. Даже SOC у аналистов не забирает, хотя это по факту может первые претенденты на это.

Чем больше ИИ развивается, тем больше атак становится.

Я не понимаю, почему людям вот лишь бы засрать?
Один негатив в массы несут...

Я сам весной выхожу на рынок и я точно найду работу. И никакие ИИ, фейки и тд мне не помешают.