Пентест корпоративного портала с получением административных привилегий

   80000 ₽ , 2 дня

Просмотров: 1
Дата добавления: 21.06.25 в 13:56

Задача: Крупная компания хотела проверить безопасность внутреннего портала сотрудников.
Что было найдено:
IDOR уязвимость в API: можно было получить данные любого сотрудника
SQL Injection в форме поиска через UNION-based атаку
XSS в комментариях с возможностью кражи сессий
Слабая защита от брутфорса (3 попытки, но без блокировки IP)
Недостаточная валидация загрузки файлов
Методика:
IDOR: изменил ID пользователя в запросе с /api/user/123 на /api/user/1 (админ)
SQL Injection: использовал ' UNION SELECT username,password FROM users--
XSS: внедрил
Брутфорс: использовал Hydra для подбора паролей админов
Инструменты: Burp Suite Pro, SQLMap, Hydra, OWASP ZAP, Custom Python скрипты
Результат: Получил доступ к админ-панели, базам данных с персональными данными 10,000+ сотрудников. Время: 2 дня.