Security Analysis
@securation
11.5K subscribers
344 photos
50 videos
36 files
885 links
- Offensive Security (Red Teaming / PenTesting)
- BlueTeam (OperationSec, TreatHunting, DFIR)
- Reverse Engineering / Malware Analysis
- Web Security
- Cryptography
- Steganography
- Forensics
Contact : @DrPwner
Download Telegram
About
Blog
Apps
Platform
Join
Security Analysis
11.5K subscribers
Security Analysis
#json #json_hijacking #hijacking #api
یکی دیگه از آسیب‌پذیری‌های کمتر شناخته شده، آسیب‌پذیری Json Hijacking می‌باشد. به موجب این آسیب‌پذیری نفوذگر می‌تواند مقادیر بازگشتی Json را بدون اینکه نیاز به وجود آسیب‌پذیری CORS باشد بخواند. این آسیب‌پذیری در صورتی رخ می‌دهد که امکان ارسال درخواست با متد GET وجود داشته باشد. البته اگر خروجی Json هم اطلاعات حساسی نباشد می‌توان این آسیب‌پذیری را نادیده گرفت زیرا اطلاعات ارزشمندی در اختیار ما قرار نخواهد داد.
به منظور اکسپلویت این آسیب‌پذیری کافیست یک صفحه HTML ساخته و API را در تگ script آدرس‌دهی کرد. سپس با استفاده از
Object.prototype.__defineSetter__("key of the sensitive value")
به مقدار آن دسترسی پیدا کرد. حال کافیست نفوذگر شخص قربانی را به صفحه‌ی نوشته شده توسط نفوذگر هدایت کند تا مقدار حیاتی را به سرقت ببرد.
برای اطلاعات بیشتر می‌توانید از لینک زیر کمک بگیرید:
https://haacked.com/archive/2009/06/25/json-hijacking.aspx
@securation
👍1
2.36K views
Security Analysis
Exploiting API with AuthToken

https://rafi-ahamed.medium.com/exploiting-api-with-authtoken-3bea7b1fb6a9
#api #token @securation
Medium
Exploiting API with AuthToken
Hallo fellow researchers,
3.07K views
Security Analysis
چک لیست امن سازی API

https://github.com/shieldfy/API-Security-Checklist

اینجا هم مثال کاربردی زده که API چطور کار میکنه و چطور باعث وجود اومدن آسیب پذیری میشه وچطور میشه سو استفاده کرد :
https://medium.com/swlh/hacking-json-web-tokens-jwts-9122efe91e4a
#API #WEB
@securation
GitHub
GitHub - shieldfy/API-Security-Checklist: Checklist of the most important security countermeasures when designing, testing, and…
Checklist of the most important security countermeasures when designing, testing, and releasing your API - shieldfy/API-Security-Checklist
1.72K viewsedited  
Security Analysis
API Hunting Roadmap :

dsopas.github.io/MindAPI/play/

#infosec #bugbounty #API
@securation
1.65K viewsedited  
Security Analysis
یک نمونه ببینید که چطوری وقتی api رو امن نکرده باشیم باعث نشت دیتا میشه؟

https://thevillagehacker.medium.com/api-security-misconfiguration-leads-to-tons-of-pii-data-leakage-fc57f1b9228
#API #Apisecurity
#misconfiguration
@securation
Medium
API Security Misconfiguration Leads to tons of PII data Leakage
Introduction
1.81K views
Security Analysis
⭕️ https://malapi.io

MalAPI.io maps Windows APIs to common techniques used by malware.

#tools #api #cheatsheet #malware
@securation
2.79K views
Security Analysis
Forwarded from Deleted Account
OWASP_API_Security_Top_10_Cheatsheet_pdf_1636948037.pdf
1.4 MB
⭕️ OWASP API Security Top 10

#owasp #API
@securation
2.07K views
Security Analysis
⭕️ Source codes of Windows API Exploitation for Red and Blue teams from Pentester Academy

https://github.com/tbhaxor/WinAPI-RedBlue
#api #exploit #redteam #blueteam
@securation
GitHub
GitHub - tbhaxor/WinAPI-RedBlue: Source code of exploiting windows API for red teaming series
Source code of exploiting windows API for red teaming series - tbhaxor/WinAPI-RedBlue
👍1
1.81K views
Security Analysis
A small library to alter AWS API requests


https://github.com/Frichetten/aws_api_shapeshifter/
#fuzzing #api #aws
@securation
GitHub
GitHub - Frichetten/aws_api_shapeshifter: A small library to alter AWS API requests; Used for fuzzing research
A small library to alter AWS API requests; Used for fuzzing research - Frichetten/aws_api_shapeshifter
🔥3😢1
1.49K views
Security Analysis
⭕️ دور زدن HTML Sanitizer API در مرورگر Firefox

HTML Sanitizer API
این Broswer API به برنامه نویس ها اجازه میده تا دیتا نا امن رو از کاربر دریافت کنند و اون رو Sanitize کنند برای رندرینگ امن در DOM
در لینک زیر میتونید بیشتر با این موضوع آشنا بشید
https://developer.mozilla.org/en-US/docs/Web/API/HTML_Sanitizer_API

اما در مقاله زیر از portswigger میبینیم که چطور این API بایپس میشه
https://portswigger.net/research/bypassing-firefoxs-html-sanitizer-api
#API #sanitizer
@securation
MDN Web Docs
HTML Sanitizer API - Web APIs | MDN
The HTML Sanitizer API allows developers to take strings of HTML and filter out unwanted elements, attributes, and other HTML entities when they are inserted into the DOM or a shadow DOM.
👍9👎2😁1
2.62K viewsAdel