Как стать автором
Поиск
Написать публикацию
Обновить

Комментарии 14

Ну утилита полезная, но писать ради нее отдельный пост… Таким образом, мы будем иметь по посту на описание половины инструментов из того же BT, Kali. Тем более, что на практике все куда замысловатее, нежели перебор плагинов)
Всего голосов 6: ↑2 и ↓4 -2
Я сам очень долго сомневался, стоит ли) раньше так и делал — делал обзор скоупом.
Всего голосов 4: ↑2 и ↓2 0
Эдакий мазохизм.
Зачем брутить свой же ресурс, если у вас есть их пароли, хоть и не в плейнтекст. Брут хешей — гораздо более быстрое занятие. А все левые файлы успешно закрываются ЧПУ.
Комментарий пока не оценивали 0
Согласен. Я тут скорее со своей стороны описал, что нужно проверить чей-то ресурс.
Всего голосов 2: ↑1 и ↓1 0
Если проверка «легальна», то такие тулзы не нужны, по причине доступа к админке и полной информации о ресурсе, если Вы преследуете корыстные цели, то «пентест» подобными программами ничуть не лучше кручения скуль хавиджем. Решают руки и голова, а не средства автоматизации, которые загадят все логи.
Всего голосов 3: ↑0 и ↓3 -3
Вы серьезно? Кто когда дает доступ к базе при пентесте? За время моего опыта (несколько лет) — никогда такого не было.
Всего голосов 2: ↑1 и ↓1 0
Я отталкивался от контекста
Для защиты от перебора ставим различные плагины, которые легко находятся в маркете.

Это ж как вы будете ставить плагины без доступа? Нормальный аудит делается с доступом к исходникам, для определения тех. же бекдоров, вы пытались затронуть в статье темы и пентеста и защиты и проверки на оставленные файлы.
Комментарий пока не оценивали 0
Это был совет администраторам.
Т.е. blackbox тестирование — это что-то ненормальное? И вообще, не было нигде слова про аудит, было про пентест.
P.S. А плагины я советовал ставить админам.
Всего голосов 3: ↑2 и ↓1 +1
Это всего лишь средство определения плагинов(сам пентест же многоуровневый процесс), может вы предложите более лучшие альтернативы при black-box'e? Не вижу связи с хавиджем.
Всего голосов 2: ↑1 и ↓1 0
Вы не правы, очень часто автоматизация решает, когда у тебя этих блогов штук 50, и все на разных хостингах, и ключики от доступа у разных команд разработчиков и системщиков. При этом блоги плодятся-живут, юзеры постоянно создаются/удаляются. Лишним такой, дополнительный скан не повредит. Учитывая, что время идет и еще кучу плагинов понаставят, которые со временем устаревают и становятся опасными.
Всего голосов 3: ↑2 и ↓1 +1
Далеко не всегда пентестерам предоставляют доступ к исходникам/субд и тд(не говоря уже о том, что «пентестеры» не всегда проверяют сайт санкционированно с владельцами).
Всего голосов 2: ↑1 и ↓1 0
чуть выше описал этот вариант. Тем кто «пентестит» сайты подобными утилитами надо отрывать руки.
Всего голосов 5: ↑1 и ↓4 -3
Правильно. Пусть их взломщики ковыряют, нежели пентестеры. А то вдруг ещё возьмут и — какой ужас! — сообщат информацию о найденных уязвимостях владельцу сайта, а он их возмёт, да закроет.

Да ещё и бесплатно. Кошмарно!

Всего голосов 5: ↑4 и ↓1 +3
Ну да, чтоб защитить свой бложег — это чересчур)
Пароли и доступы итак известны. Это если другу помочь ;-)
Всего голосов 2: ↑1 и ↓1 0
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Разблокировать темную тему

Истории

Ваш аккаунт

Разделы

Информация

Услуги

Техническая поддержка
© 2006–2024, Habr