In mijn vorige blogpost vertelde ik hoe je de drie soorten XSS herkent. Dat was de theorie. Nu komt de praktijk, en die is een stuk minder netjes dan de theorie ooit laat vermoeden. In echte pentests ontdek je XSS niet door eindeloos payloads te proberen, maar door te kijken naar wat een applicatie met […]
XSS testen in de praktijk: welke payloads écht werken in PNPT labs Meer lezen »
Command injection is één van die kwetsbaarheden die je nooit vergeet zodra je hem eenmaal hebt uitgebuit. Het is direct, krachtig en vaak dodelijk voor een target. Tijdens mijn PNPT-voorbereidingen heb ik drie verschillende scenario’s doorlopen die allemaal hun eigen valkuilen, syntaxproblemen en denkfouten hadden. Deze blogpost bundelt alles wat ik ervan leerde, zodat jij
Command Injection: van simpele test tot volledige systeemcompromis Meer lezen »
Cross-Site Scripting blijft een van die kwetsbaarheden die iedere pentester vroeg of laat tegenkomt. Het lijkt simpel. Een alert-boxje, een klein scriptje, maar achter dat ogenschijnlijk onschuldige gedrag schuilt een aanvalsvector waarmee je de browser van een ander overneemt. Drie varianten spelen hierbij een rol, en elk vraagt een andere manier van kijken en testen.
De 3 soorten XSS: wat ze zijn, hoe je ze herkent en hoe je ze verstandig test Meer lezen »