Инструменты разведчика. Подбираем полезные утилиты для разведки при охоте за багами - «Новости» » Самоучитель CSS
Меню
Наши новости
Учебник CSS

Невозможно отучить людей изучать самые ненужные предметы.

Введение в CSS
Преимущества стилей
Добавления стилей
Типы носителей
Базовый синтаксис
Значения стилевых свойств
Селекторы тегов
Классы
CSS3

Надо знать обо всем понемножку, но все о немногом.

Идентификаторы
Контекстные селекторы
Соседние селекторы
Дочерние селекторы
Селекторы атрибутов
Универсальный селектор
Псевдоклассы
Псевдоэлементы

Кто умеет, тот делает. Кто не умеет, тот учит. Кто не умеет учить - становится деканом. (Т. Мартин)

Группирование
Наследование
Каскадирование
Валидация
Идентификаторы и классы
Написание эффективного кода

Самоучитель CSS

Вёрстка
Изображения
Текст
Цвет
Линии и рамки
Углы
Списки
Ссылки
Дизайны сайтов
Формы
Таблицы
CSS3
HTML5

Новости

Блог для вебмастеров
Новости мира Интернет
Сайтостроение
Ремонт и советы
Все новости

Справочник CSS

Справочник от А до Я
HTML, CSS, JavaScript

Афоризмы

Афоризмы о учёбе
Статьи об афоризмах
Все Афоризмы

Видео Уроки


Наш опрос



Наши новости

       
20-08-2021, 00:00
Инструменты разведчика. Подбираем полезные утилиты для разведки при охоте за багами - «Новости»
Рейтинг:
Категория: Новости

Сайт про­екта

info


Сей­час про­ект недос­тупен для широкой пуб­лики, но, если ты готов подож­дать, по­дай заяв­ку. Вла­дель­цы высыла­ют инвай­ты всем жела­ющим каж­дые две недели по понедель­никам.



Нач­нем с вари­анта для ленивых. Ути­лита Chaos собира­ет информа­цию обо всех пуб­личных прог­раммах, находя­щих­ся на извес­тных баг­баун­ти‑плат­формах, вро­де Bugcrowd, HackerOne, Intigrity.


Chaos

На момент написа­ния статьи на сай­те есть 513 прог­рамм. Информа­ция пос­тоян­но обновля­ется, так что ты всег­да будешь видеть акту­аль­ную.



www


Ес­ли любишь работать с кон­солью, то у Chaos есть удоб­ный кли­ент.



По­иск и сор­тиров­ка по прог­раммам реали­зова­ны очень удоб­но. Нап­ример, мож­но пос­мотреть толь­ко те прог­раммы, которые пред­лага­ют воз­награж­дение за най­ден­ные уяз­вимос­ти или име­ют мно­го под­доменов, или отсле­дить новые прог­раммы, что­бы успеть зай­ти пер­вым и снять вишен­ку с тор­та. В отли­чие от боль­шинс­тва сай­тов, свя­зан­ных с раз­ведкой, он бес­плат­ный.



chaos -d uber.com -silent


restaurants.uber.com
testcdn.uber.com
approvalservice.uber.com
zoom-logs.uber.com
eastwood.uber.com
meh.uber.com
webview.uber.com
kiosk-api.uber.com
...


recon.dev

Сайт про­екта


Еще один сайт, который поможет соб­рать мно­го полез­ной информа­ции о под­доменах. В отли­чие от Chaos, бес­плат­но recon.dev показы­вает толь­ко пер­вые 20 резуль­татов поис­ка. За осталь­ные при­дет­ся зап­латить, одна­ко цена за получен­ный набор дан­ных неболь­шая.


recon.dev
subfinder

Ска­чать с GitHub


Subfinder счи­тает­ся потом­ком sublist3r — ути­лита тоже собира­ет информа­цию о под­доменах, исполь­зуя мно­жес­тво пас­сивных онлай­новых источни­ков, таких как Baidu, Bing, Censys. Для некото­рых источни­ков пот­ребу­ется внес­ти клю­чи от API в файл кон­фигура­ции ($HOME/.config/subfinder/config.yaml).


Subfinder име­ет удоб­ную модуль­ную архи­тек­туру и написан на Go, так что очень быс­тро работа­ет.


Subfinder 

Словари


Пе­ред тем как начинать раз­ведку, сто­ит запас­тись пач­кой доб­ротных сло­варей. От выбора хороше­го сло­варя зависит мно­гое: чем боль­ше будет соб­рано скры­тых парамет­ров, под­доменов, дирек­торий и фай­лов, тем выше шанс обна­ружить какую‑нибудь брешь в безопас­ности.


В интерне­те мож­но най­ти огромное количес­тво сло­варей, но не все они эффектив­ны. Занима­ясь некото­рое вре­мя баг­баун­ти и поп­робовав при этом раз­ные сло­вари, я для себя выделил нес­коль­ко очень инте­рес­ных вари­антов, которые не раз меня выруча­ли и помога­ли обна­ружить мес­та, до которых еще не доходи­ли дру­гие охот­ники за багами.


fuzz.txt

Ска­чать с GitHub


Я всег­да начинаю с fuzz.txt, который содер­жит спи­сок потен­циаль­но опас­ных фай­лов и дирек­торий. Сло­варь прак­тичес­ки каж­дый месяц допол­няет­ся новыми сло­вами. Про­ходит­ся быс­тро, а за счет это­го мож­но ско­рее начать ковырять наход­ки и парал­лель­но пос­тавить переби­рать дру­гие, более объ­емные спис­ки. Сло­варь содер­жит 4842 сло­ва, но, по опы­ту, имен­но он отлично под­ходит для пер­воначаль­ного иссле­дова­ния веб‑при­ложе­ния.


Сайт про­екта info Сей­час про­ект недос­тупен для широкой пуб­лики, но, если ты готов подож­дать, по­дай заяв­ку. Вла­дель­цы высыла­ют инвай­ты всем жела­ющим каж­дые две недели по понедель­никам. Нач­нем с вари­анта для ленивых. Ути­лита Chaos собира­ет информа­цию обо всех пуб­личных прог­раммах, находя­щих­ся на извес­тных баг­баун­ти‑плат­формах, вро­де Bugcrowd, HackerOne, Intigrity. ChaosНа момент написа­ния статьи на сай­те есть 513 прог­рамм. Информа­ция пос­тоян­но обновля­ется, так что ты всег­да будешь видеть акту­аль­ную. www Ес­ли любишь работать с кон­солью, то у Chaos есть удоб­ный кли­ент. По­иск и сор­тиров­ка по прог­раммам реали­зова­ны очень удоб­но. Нап­ример, мож­но пос­мотреть толь­ко те прог­раммы, которые пред­лага­ют воз­награж­дение за най­ден­ные уяз­вимос­ти или име­ют мно­го под­доменов, или отсле­дить новые прог­раммы, что­бы успеть зай­ти пер­вым и снять вишен­ку с тор­та. В отли­чие от боль­шинс­тва сай­тов, свя­зан­ных с раз­ведкой, он бес­плат­ный. chaos -d uber.com -silent restaurants.uber.com testcdn.uber.com approvalservice.uber.com zoom-logs.uber.com eastwood.uber.com meh.uber.com webview.uber.com kiosk-api.uber.com . recon.dev Сайт про­екта Еще один сайт, который поможет соб­рать мно­го полез­ной информа­ции о под­доменах. В отли­чие от Chaos, бес­плат­но recon.dev показы­вает толь­ко пер­вые 20 резуль­татов поис­ка. За осталь­ные при­дет­ся зап­латить, одна­ко цена за получен­ный набор дан­ных неболь­шая. recon.dev subfinder Ска­чать с GitHub Subfinder счи­тает­ся потом­ком sublist3r — ути­лита тоже собира­ет информа­цию о под­доменах, исполь­зуя мно­жес­тво пас­сивных онлай­новых источни­ков, таких как Baidu, Bing, Censys. Для некото­рых источни­ков пот­ребу­ется внес­ти клю­чи от API в файл кон­фигура­ции ($HOME/.config/subfinder/config.yaml). Subfinder име­ет удоб­ную модуль­ную архи­тек­туру и написан на Go, так что очень быс­тро работа­ет. Subfinder Словари Пе­ред тем как начинать раз­ведку, сто­ит запас­тись пач­кой доб­ротных сло­варей. От выбора хороше­го сло­варя зависит мно­гое: чем боль­ше будет соб­рано скры­тых парамет­ров, под­доменов, дирек­торий и фай­лов, тем выше шанс обна­ружить какую‑нибудь брешь в безопас­ности. В интерне­те мож­но най­ти огромное количес­тво сло­варей, но не все они эффектив­ны. Занима­ясь некото­рое вре­мя баг­баун­ти и поп­робовав при этом раз­ные сло­вари, я для себя выделил нес­коль­ко очень инте­рес­ных вари­антов, которые не раз меня выруча­ли и помога­ли обна­ружить мес­та, до которых еще не доходи­ли дру­гие охот­ники за багами. fuzz.txt Ска­чать с GitHub Я всег­да начинаю с fuzz.txt, который содер­жит спи­сок потен­циаль­но опас­ных фай­лов и дирек­торий. Сло­варь прак­тичес­ки каж­дый месяц допол­няет­ся новыми сло­вами. Про­ходит­ся быс­тро, а за счет это­го мож­но ско­рее начать ковырять наход­ки и парал­лель­но пос­тавить переби­рать дру­гие, более объ­емные спис­ки. Сло­варь содер­жит 4842 сло­ва, но, по опы­ту, имен­но он отлично под­ходит для пер­воначаль­ного иссле­дова­ния веб‑при­ложе­ния.

Теги: CSS

Просмотров: 630
Комментариев: 0:   20-08-2021, 00:00
Уважаемый посетитель, Вы зашли на сайт как незарегистрированный пользователь. Мы рекомендуем Вам зарегистрироваться либо войти на сайт под своим именем.

 
Еще новости по теме:



Другие новости по теме: