🤨 С вас 1e-1 рублей

На практике часто приходится сталкиваться с тестированием платёжных систем. Данная методичка поможет пентестерам проводить более тщательный анализ безопасности таких систем. На проекте также воспользовался данным материалом.

▎Краткое содержание:
➡️Уязвимости типа Time-of-Check-Time-of-Use (TOCTOU) и Race Condition;
➡️Манипуляции с параметрами;
➡️Атаки повторного воспроизведения (Replay Attacks);
➡️Ошибки округления;
➡️Проблемы обработки числовых данных;
➡️Уязвимости, связанные с номерами карт;
➡️Динамическое ценообразование, цены с допуском и реферальные схемы;
➡️Перебор и угадывание данных (Enumeration and Guessing);
➡️Проблемы криптографии;
➡️Загружаемые и виртуальные товары;
➡️Скрытые и небезопасные backend-API;
➡️Использование тестовых данных в production-среде;
➡️Арбитраж валют при пополнении/покупке и выводе/возврате средств.

Документ переведён на русский язык, но оригинал на английском также сохранён. Когда встретится кривой перевод, всегда можно свериться с оригинальным текстом страницей выше.

Сохраняйте себе, чтобы не потерять!

#материал

🤨 Костылёк на костыльке...

Однажды появилась задача поисследовать Bitrix на уязвимости. Нашёл очень классные материалы по атакам на данную CMS на русском языке. С помощью них обнаружил несколько некритических уязвимостей на проекте, а потом отпала необходимость ковырять данный вектор. Ну и ладно)

Всегда держу ссылочки при себе на всякий случай, вам тоже советую их сохранить.

🔗 Ссылка на методичку PDF [Автор crlf]
🔗 Ссылка на скачивание шпаргалки PDF [Автор Антон Лопаницын]
🔗 Ссылка на Bitrix Ultimate Pentest Guide [Автор FaLLenSkiLL]

#материал

Я в Коммерсантъ 🥳

UPD. А также в www1.

🔗 Ссылка на новость Коммерсантъ
🔗 Ссылка на новость www1 (Дзен)