Studoši

ima netko ideju kako izvest vertikalni brute force napad?

Sicsile
meni je profesor ovo odgovorio na pitanje za napad, ja iskeno i dalje nisam baš skužio što treba, možda je dovoljno doslovno da osoba koja ti testira domacu zadacu da naprosto proba unijeti hrpu loziniki za jednog usera? Nisam siguran stvarno

Kaladonter mislim da ti mozes pripremiti neki listu fejk lozinki gdje je zadnja prava, pa osoba koja testira samo stisne gumb da se one pokusaju unijet i ude, a onda kad se ukljuci zastita i opet osoba stisne taj gumb zaustavi te nakon npr treceg pokusaja (ili koja ti je vec granica brzine i broja pokusaja).

Kaladonter Jos nisam ni poceo taj labos, ali pretpostavljam da bi trebao koristiti jedan od bruteforce alata sa dictionary-em za pokušaj probijanja lozinke
Kali linux ima dosta takvih alata tipa Hydra, medusa, metasploit kojima daš IP adresu, username i txt lozinki za napad i oni prolaze kroz te lozinke i testiraju.

Ima netko materijale za XXE da nisu OWASP/prezentacija? Ne znam ni kako početi s tim, upute su ekstremno generalne.

Pitanje za XXE, nije mi skroz jasno kako bi trebali implementirat ovu ranjivost. Koliko shvaćam sve se svodi na loše konfiguriran XML parser koji dopušta vanjske entitete. Ja ne mogu pronaći neki XML parser za node.js koji ima omogućene vanjske entitete. Također, ako se parsiranje XML-a provodi na serveru kako bi server trebao izvesti javascript alert na browseru?

Kako bi trebali rjesiti ovaj csrf, jel trebamo onda napraviti i drugu ranjivu stranicu (imati 2 heroku projekta) pa na nasoj originalnoj prikazivati session ideve koje krademo sa ove druge ili bi bilo ok samo imati gumb koji postavlja cookie i na drugoj stranici (na istom posluzitelju) neki img tag sa srcom koji krade taj session id i negdje ga prikazuje onda? Nije bas objasnjeno kako su to oni zamislili u ovim uputama

Je li itko implementirao nesigurnu deserijalizaciju? Ne znam sto tocno treba napraviti

je li tko uspio parser na serveru napraviti , probala sam koristiti express-xml-bodyparser pa mi javlja greške u sintaksi xml-ova

Je napravio ko XSS, kako zaobici chromeovu zaštitu?

Odvratan labos, materijala za vecinu ovih stvari nema,a kad ih se pita za pojasnjenje samo mi dodatno bude nejasnije…

Jel bi za Sensitive data exposure bilo ok napraviti neku kao login formu pa je tu kao problem da se šalju i pohranju plaintext podaci? Ili npr da se negdje prikazuju informacije koje korisnik ne bi trebao vidjet kao oib drugih korisnika?

laranotreallycroft Ja se isto pitam oko toga, šokantno da je nejasno zadan zadatak za kojeg imamo 3 powerpoint slidea materijala.

Jel mi moramo napraviti kao 1 projekt koji će zadovoljavati sva 3 zadatka ili mogu 3 manja da svaki implementira samo 1?

itko ikakvu ideju kako postaviti ikakav xml parser

*** evo ja sam im poslao poruku vezano za to pa ce valjda napisati nesto pametno

LucidDreamer
Valjda neces dobit ovako opsiran odgovor.

Bisolvon poslao sam im vrlo slicno pitanje tako da me bas zanima kaj ce odgovorit

Bisolvon btw kaj im to uopce znaci.. ubaci pa izbrisi ili pusti????

Pitanje, nama je ovo 2. projekt a trebalo bi ih biti 6?
Jel to istina ili, kad misle još 4?

IdeGas 5 projekata ima, ali da bit ce tjesno sad u 2. ciklusu sto se njih tiče