[NRPPZW] 2. projekt - 2021/2022

Sicsile

ima netko ideju kako izvest vertikalni brute force napad?

Kaladonter

Sicsile
meni je profesor ovo odgovorio na pitanje za napad, ja iskeno i dalje nisam baš skužio što treba, možda je dovoljno doslovno da osoba koja ti testira domacu zadacu da naprosto proba unijeti hrpu loziniki za jednog usera? Nisam siguran stvarno

AnamarijaM

Kaladonter mislim da ti mozes pripremiti neki listu fejk lozinki gdje je zadnja prava, pa osoba koja testira samo stisne gumb da se one pokusaju unijet i ude, a onda kad se ukljuci zastita i opet osoba stisne taj gumb zaustavi te nakon npr treceg pokusaja (ili koja ti je vec granica brzine i broja pokusaja).

anon00

Kaladonter Jos nisam ni poceo taj labos, ali pretpostavljam da bi trebao koristiti jedan od bruteforce alata sa dictionary-em za pokušaj probijanja lozinke
Kali linux ima dosta takvih alata tipa Hydra, medusa, metasploit kojima daš IP adresu, username i txt lozinki za napad i oni prolaze kroz te lozinke i testiraju.

shoshakis

Ima netko materijale za XXE da nisu OWASP/prezentacija? Ne znam ni kako početi s tim, upute su ekstremno generalne.

Bisolvon

Pitanje za XXE, nije mi skroz jasno kako bi trebali implementirat ovu ranjivost. Koliko shvaćam sve se svodi na loše konfiguriran XML parser koji dopušta vanjske entitete. Ja ne mogu pronaći neki XML parser za node.js koji ima omogućene vanjske entitete. Također, ako se parsiranje XML-a provodi na serveru kako bi server trebao izvesti javascript alert na browseru?

Kennedy

Kako bi trebali rjesiti ovaj csrf, jel trebamo onda napraviti i drugu ranjivu stranicu (imati 2 heroku projekta) pa na nasoj originalnoj prikazivati session ideve koje krademo sa ove druge ili bi bilo ok samo imati gumb koji postavlja cookie i na drugoj stranici (na istom posluzitelju) neki img tag sa srcom koji krade taj session id i negdje ga prikazuje onda? Nije bas objasnjeno kako su to oni zamislili u ovim uputama

boki8

Je li itko implementirao nesigurnu deserijalizaciju? Ne znam sto tocno treba napraviti

Gocc

je li tko uspio parser na serveru napraviti , probala sam koristiti express-xml-bodyparser pa mi javlja greške u sintaksi xml-ova

Exelero

Je napravio ko XSS, kako zaobici chromeovu zaštitu?

LucidDreamer

Odvratan labos, materijala za vecinu ovih stvari nema,a kad ih se pita za pojasnjenje samo mi dodatno bude nejasnije…

laranotreallycroft

Jel bi za Sensitive data exposure bilo ok napraviti neku kao login formu pa je tu kao problem da se šalju i pohranju plaintext podaci? Ili npr da se negdje prikazuju informacije koje korisnik ne bi trebao vidjet kao oib drugih korisnika?

Tonii

laranotreallycroft Ja se isto pitam oko toga, šokantno da je nejasno zadan zadatak za kojeg imamo 3 powerpoint slidea materijala.

Tonii

Jel mi moramo napraviti kao 1 projekt koji će zadovoljavati sva 3 zadatka ili mogu 3 manja da svaki implementira samo 1?

Gocc

itko ikakvu ideju kako postaviti ikakav xml parser

LucidDreamer

*** evo ja sam im poslao poruku vezano za to pa ce valjda napisati nesto pametno

Bisolvon

LucidDreamer
Valjda neces dobit ovako opsiran odgovor.

LucidDreamer

Bisolvon poslao sam im vrlo slicno pitanje tako da me bas zanima kaj ce odgovorit

LucidDreamer

Bisolvon btw kaj im to uopce znaci.. ubaci pa izbrisi ili pusti????

WP_Deva

Pitanje, nama je ovo 2. projekt a trebalo bi ih biti 6?
Jel to istina ili, kad misle još 4?

Tonii

IdeGas 5 projekata ima, ali da bit ce tjesno sad u 2. ciklusu sto se njih tiče

« Prethodna stranica Sljedeća stranica »