Для подписчиковСегодня я покажу, как через запросы к серверу MS SQL можно получить сессию на хосте. Но прежде используем ошибку в логике приложения и повысим привилегии на сайте через IDOR. А получив доступ к Windows, вытащим учетные данные пользовател…
Рубрика: IDOR
HTB Freelancer. Атакуем Microsoft SQL Server и анализируем дамп памяти
Для подписчиковСегодня я покажу, как через запросы к серверу MS SQL можно получить сессию на хосте. Но прежде используем ошибку в логике приложения и повысим привилегии на сайте через IDOR. А получив доступ к Windows, вытащим учетные данные пользовател…
Охота на идоров. Пьеса о защите данных в трех действиях
Для подписчиковIDOR — самый опасный зверь в лесу OWASP. Даже один экземпляр, попавший не в те руки, может дорого обойтись компании нашего инженера, поэтому он использует все возможности, доступные в его белом ящике, чтобы обогнать на этой охоте пентест…