Мастер-класс

Поиск уязвимостей IDOR (BOLA)

  • На русском языке
Презентация pdf

Дополнительные навыки в нагрузочном тестировании, производительности, UX, безопасности, автоматизации и так далее помогают QA эффективнее повышать качество в своем продукте. QA, имея знания в тестировании безопасности, может быть евангелистом безопасности в своей команде (Security Champion).

С чего обычно начинают знакомиться с тестированием безопасности — пентестом? Пробуют перебрать пароли от какого-либо сервиса (брутфорс). Знакомятся с OWASP Top 10 и начинают искать XSS, добавляя в поля <img src=x onerror=alert('XSS');>.

Но начинать, по мнению спикера, лучше всего с IDOR (BOLA). Эта уязвимость очень простая и часто встречается в различных сервисах.

На мастер-классе вы научитесь искать IDOR. Он будет полезен всем, кто хочет начать тестировать безопасность в своем продукте и вместе поискать IDOR с помощью инструмента Burp Suite.

Для участия в мастер-классе необходимо:

Поставить Burp Suite Community.

Настроить проксирование Burp.

Установить расширение Autorize:

  • Скачать jython standalone 
  • На вкладке Extender/Options добавить его в Python Enviroment
  • Перейти на вкладку Extender/BApp Store — выбрать слева Autorize, справа нажать install.
  • #idor
  • #owasp_top_10
  • #pentest
  • #security

Спикеры

Приглашенные эксперты

Расписание