Здравствуйте, дорогие друзья. Введение Если Вы столкнетесь с приложением, созданным по индивидуальному заказу, Вы не сможете искать известные CVE, и Вам придется искать эти уязвимости вручную. Это потребует от Вас знаний о 10 основных уязвимостях OWASP и о многих других, не перечисленных там. Вам необходимо научиться тестировать распространенные уязвимости, такие как XSS, SQLI, LFI, RFI, CSRF, XXE и SSRF. Единственный инструмент, который Вам нужен, это Burp Suite: ● https://portswigger.net/burp Тем не менее, некоторые тестировщики предпочитают использовать автоматизированные сканеры, такие как сканер SQL-инъекций, сканеры XSS, сканер Burp и другие...

Читатели узнают о том, как правильно осуществить эту практику и найти все возможные уязвимости системы.

#rce XXE: от чтения файлов до full RCE через Expect Привет, друг! XXE (XML External Entity) — это атака на небезопасно сконфигурированный XML-парсер, которая позволяет злоумышленнику вмешиваться в обработку XML-данных приложением. Звучит скучно? А теперь представь, что через обычную форму загрузки файлов ты можешь читать /etc/passwd, делать SSRF на внутренние сервисы и даже выполнять команды на сервере. Вот это уже интереснее.​ Подробнее: https://timcore.ru/2026/01/10/xxe-ot-chtenija-fajlov-do-full-rce-cherez-expect/ Другие наши проекты: https://timcore.ru/ https://timcourse.ru/ https://timforensics...

Несмотря на доминирование JSON в веб-разработке, статистика 2024 года показывает, что более 42% корпоративных B2B-транзакций и государственных информационных систем по-прежнему полагаются на расширяемый язык разметки. Проблема заключается в том, что стандартные методы обработки часто не справляются с объемами данных, которые выросли в среднем на 300% за последние три года. Данная статья написана для системных архитекторов и ведущих разработчиков, которым необходимо выстроить отказоустойчивый Xml парсинг в высоконагруженных средах...