פרוטוקול OAuth2 הוא אחד הפרוטוקולים הנפוצים לזיהוי ואימות משתמשים. בשל הפופולריות הרבה שלו וכמות המחקרים שבוצעו בו עם השנים, הוא לגמרי שווה פוסט נפרד על כיצד הוא עובד ומה הם סיכוני האבטחה הרבים שצריך להיות מודעים אליהם בעת שימוש בו, סיכונים אותם נחקור בעת ביצוע מחקרי חולשות ומבדקי PT. למעשה, קיימים מספר דרכים למימוש OAuth2…
כשמדברים עם בודקי חדירה בתחילת דרכם על בדיקת חדירות לאתרי אינטרנט לרוב לא שומעים את השם Host Header Injection ולא בכדי. מתקפה זו היא אומנם מתקפה משמעותית שיכולה להוביל לשורה של מתקפות אחרות, אך אף-על פי כן, היא לא מספיק מוערכת בעולמות הWeb Penetration Testing ובמדריך זה אני מקווה לסקור אותה בצורה מספיק משמעותית על-מנת…
ארבע שנים לאחר העדכון האחרון, עדכן לפני כחודש ארגון הOWASP את הTOP 10 של הפגיעויות באתרי האינטרנט. משום-מה, טרם ראיתי שיצא מאמר בעברית שסוקר את השינויים והחידושים בTOP 10 2021 אל-מול הגרסה האחרונה של טבלת דירוג הפגיעויות הפופולארית, זאת שיצאה בשנת 2017. בעקבות-זאת החלטתי לחרוג ממנהגי ולכתוב פוסט קצר מהרגיל שיסכם את גרסת ה2021. בOWASP…
כשמאט מולנווג ומייק ליטל הקימו את wordpress ב2003, ספק אם הם שיערו כמה היא תהפוך לפופולארית. כשליש מאתרי האינטרנט בעולם פועלים כיום ע"ג wordpress, כך גם מעל ל30% מהאתרים הגדולים בעולם. עם-הפופולאריות בתפוצה, מגיעה גם הפופולאריות בניסונות הפריצה וע"פ הנתונים, כ90% מניסיונות הפריצה לאתרי אינטרנט הן כלפי אתרי wordpress. לא פלא אם כן שכל קורס…
את פרוטוקול הHTTP – Hypertext Transfer Protocol כולנו מכירים. בעזרת פרוטוקול זה ניתן להעביר את דפי הHTML והאובייקטים הקיימים בהם ברשת האינטרנט וברשתות האינטראנט (רשתות אינטרנט פרטיות). לכל בקשת HTTP שנשלחת מצד הלקוח (הדפדפן) ותגובת HTTP שנשלחת מצד השרת כמענה לבקשת הדפדפן מצורפים כותרות הבקשה (Headers). כותרות אלו מכילות מידע רב על הלקוח והשרת, כאשר…