Paweł Goleń, blog

“Za moich czasów” wstyd było się przyznać, że czegoś się nie udało zrobić. Oczywiście, czasami się nie udawało, ale przynajmniej człowiek próbował. Patrzenie na problem było chyba również bardziej zadaniowe, coś w stylu “potrzebuję zrobić X”. A teraz?

(...) Ponieważ nie ma narzędzia “X” użytego w poprzednim teście, nie udało się zrobić retestu “Y”. (...)

No dobrze, czasami ma to sens, ale zastanówmy się nad takim prostym przykładem – SSRF. W poprzedniej iteracji tester użył netcat by zobaczyć, czy serwer wysyła request na podany adres. Czy brak netcat uniemożliwia retest? No oczywiście, że nie, kilka możliwości:

• Python i http.server
• PowerShell i na przykład taki skrypt: powershell-web-server.ps1
• Burp Suite i listener z forwarderem
• (...)

Czy naprawdę tak trudno jest pomyśleć najpierw co trzeba zrobić, a potem znaleźć sposób, by to zrobić? A może to dawno zapomniana sztuka tajemna? Wyuczona bezradność górą?

Oryginał tego wpisu dostępny jest pod adresem Nieporadność mnie męczy

Autor: Paweł Goleń