LLM Pentest
Այս բլոգային գրառումը խորանում է խոցելիության դասի մեջ, որը հայտնի է որպես «Prompt Leaking» եւ դրա հետագա շահագործումը «Prompt Injection»-ի միջոցով, որը LLM pentest ներգրավման ժամանակ թույլ էր տալիս համակարգի հրամանների չարտոնված կատարումը Python կոդի ներարկման միջոցով. Մանրամասն դեպքի ուսումնասիրության մեջ մենք կուսումնասիրենք այս խոցելիությունների մեխանիզմը, դրանց հետեւանքները եւ դրանց շահագործման մեթոդաբանությունը.
Man-In-The-Middle (MITM)
Սկզբունքը հարձակումների MITM այն է, որ հարձակողական ներդրվում է ցանցային փոխազդեցության և հանդես է գալիս որպես միջնորդ միջեւ атакуемыми հանգույցների, ретранслируя նրանց հաղորդագրությունները. Իրականացնել նման գրոհ lan մասնավորապես կարելի է տեխնիկայի օգնությամբ ARP-spoofing.
CSRF – Spring Security-ի մանրամասները
Cross-site request forgery (CSRF) հարձակման ժամանակ հարձակվողը խաբում է օգտվողին կամ բրաուզերին՝ վնասակար կայքից թիրախային կայքին HTTP հարցում կատարելու համար։ Հարցումը ներառում է օգտատիրոջ հավատարմագրերը եւ ստիպում է սերվերին իրականացնել ինչ-որ վնասակար գործողություն՝ մտածելով, որ օգտվողը մտադիր է դա անել.
Ինչպես օգտագործել NMAP սկաները
NMAP- ը անվճար է, բաց կոդով, կոմունալ կոմունալ կոմունալ ծառայություններ եւ անվտանգության աուդիտ. Այն լայնորեն օգտագործվում է Linux- ի օգտագործողների համայնքում, քանի որ այն շատ հեշտ է օգտագործել, բայց միեւնույն ժամանակ շատ հզոր. NMAP- ի գործունեության սկզբունքը, պարզ լեզվով, տվյալ թիրախի համար տվյալների փաթեթներ ուղարկելն է (ըստ IP) եւ մեկնաբանում է վերադարձված փաթեթները, որոշելու, թե որ նավահանգիստները բացվում են, ներառված են կամ զտվում են. Այս հնարավորությունները թույլ են տալիս հավաքել շատ արժեքավոր տեղեկատվություն. Եկեք նայենք այս հնարավորություններից մի քանիսը. Նման հոդվածների համար բնորոշ թիմերից բացի, առաջարկություններ կտրվեն, թե ինչպես օգտագործել սկանավորման ընթացքում հավաքված տվյալները.
XPath ներարկում - կանխարգելման տեսակներ եւ մեթոդներ
Այս հոդվածում մենք կքննարկենք այս տեսակի խոցելիությունները վեբ ծրագրերում, ինչպես - XPath ներարկում.
HTML / CSS խոցելիություն վեբ ծրագրերում
Այս հոդվածում ես որոշեցի հավաքել HTML / CSS ներարկումների շահագործման օրինակներ `օգտագործելով վեբ ծրագրերի թեստավորման վայրերից մեկը: Խելագարված վեբ դիմում - BWAPP
Այսօր մենք վերլուծելու ենք շատ հետաքրքիր վեբ-խոցելիություն, որը կապված է արտաքին սուբյեկտների XML փաստաթղթերի ներդրման հետ-XXE
XXE (XML արտաքին սուբյեկտ, XML- ի արտաքին էության ներդրումը) վեբ անվտանգության խոցելիությունն է, որը տեղի է ունենում այն ժամանակ, երբ դիմումը մշակում է XML-Vedas- ը `առանց պատշաճ ստուգման կամ մաքրման: Այս խոցելիության էությունը հարձակվողի ունակությունն է `XML փաստաթղթի ներսում արտաքին օբյեկտներ (ֆայլեր կամ առարկաներ փոխանցված ֆայլեր կամ առարկաներ փոխանցվող ֆայլեր կամ առարկաներ) վերբեռնելու համար.