𝘛𝘩𝘪𝘴 𝘱𝘰𝘴𝘵 𝘪𝘴 𝘧𝘰𝘳 𝘦𝘥𝘶𝘤𝘢𝘵𝘪𝘰𝘯𝘢𝘭 𝘱𝘶𝘳𝘱𝘰𝘴𝘦𝘴 𝘰𝘯𝘭𝘺. 𝘗𝘭𝘦𝘢𝘴𝘦 𝘶𝘴𝘦 𝘵𝘩𝘦𝘴𝘦 𝘳𝘦𝘴𝘰𝘶𝘳𝘤𝘦𝘴 𝘳𝘦𝘴𝘱𝘰𝘯𝘴𝘪𝘣𝘭𝘺 𝘢𝘯𝘥 𝘥𝘰 𝘯𝘰𝘵 𝘮𝘪𝘴𝘶𝘴𝘦 𝘵𝘩𝘦 𝘪𝘯𝘧𝘰𝘳𝘮𝘢𝘵𝘪𝘰𝘯 𝘵𝘰 𝘤𝘢𝘶𝘴𝘦 𝘩𝘢𝘳𝘮.
Цей пост створений виключно для навчальних цілей. Будь ласка, використовуйте ці ресурси відповідально і не застосовуйте отриману інформацію для заподіяння шкоди.
Як пентестери, ми покладаємося на набір шпаргалок для ефективного виявлення та експлуатації вразливостей під час багбаунті і тестування застосунків. Розуміння впливу кожного payload (корисного навантаження) і правильне його використання може стати вирішальним фактором. Ось кілька важливих ресурсів для різних вразливостей:
Розуміння вразливостей
Hacksplaining: https://www.hacksplaining.com/lessons
Шпаргалки та Payloads
OWASP Cheat Sheet: https://cheatsheetseries.owasp.org/
Файлові завантаження
https://github.com/danielmiessler/SecLists/tree/master/Payloads
XSS (Cross-Site Scripting)
PayloadBox XSS Payload List: https://github.com/payloadbox/xss-payload-list
PortSwigger XSS Cheat Sheet: https://portswigger.net/web-security/cross-site-scripting/cheat-sheet.pdf
SQL Ін’єкції
PayloadBox SQL Injection Payload List: https://github.com/payloadbox/sql-injection-payload-list/blob/master/Intruder/exploit/Auth_Bypass.txt
HackTricks SQL Injection Guide: https://book.hacktricks.xyz/pentesting-web/sql-injection
PortSwigger SQL Injection Cheat Sheet: https://portswigger.net/web-security/sql-injection/cheat-sheet
SSTI (Server-Side Template Injection)
PayloadBox SSTI Payloads: https://github.com/payloadbox/ssti-payloads
Command Injection
https://github.com/payloadbox/command-injection-payload-list
XXE (XML External Entity)
https://github.com/payloadbox/xxe-injection-payload-list
SSRF (Server-Side Request Forgery)
https://pravinponnusamy.medium.com/ssrf-payloads-f09b2a86a8b4
Важливість правильного використання Payload
Правильний payload важливий з кількох причин:
- Точність: Правильний payload допомагає точно виявляти і перевіряти вразливості.
- Безпека: Неправильне використання payload може випадково завдати шкоди додатку, що може призвести до втрати або пошкодження даних.
- Ефективність: Добре підібраний payload спрощує процес тестування, роблячи його швидшим і ефективнішим.
Потенційні ризики неправильних Payload
Використання неправильних payload може мати серйозні наслідки:
— Втрата даних: Неправильні payload можуть видалити або змінити критичні дані.
— Перебої в роботі сервісу: Payload можуть викликати збої в роботі додатка або зробити його недоступним.
— Порушення безпеки: Неправильне використання payload може створити нові вразливості, що зробить додаток більш вразливим до атак.
Залишайтеся уважними і тримайте ці ресурси під рукою, щоб удосконалювати свої навички пентестингу та підвищувати свій вплив у світі кібербезпеки!
Перекладено з: 𝙇𝙞𝙛𝙚 𝙞𝙨 𝙩𝙤𝙤 𝙨𝙝𝙤𝙧𝙩, 𝘼𝙥𝙥 𝙨𝙚𝙘 𝙞𝙨 𝙩𝙤𝙪𝙜𝙝 𝙨𝙤 𝙘𝙝𝙚𝙖𝙩!