OWASP หรือ Open Web Application Security Project เป็นมาตรฐานความปลอดภัยของเว็บแอปพลิเคชัน ที่ร่วมกันจัดทำโดยองค์กรไม่แสวงหากำไร ถือเป็นช่องโหว่หลักที่สาย developer และ IT security ไม่ควรพลาด และในปีนี้ 2021 ทาง OWASP ได้มีการรวบรวมความเสี่ยงที่พบเจอมากสุดในช่วงปี 2017–2021 ออกมาใหม่ดังรูปด้านล่าง แต่ยังเป็นเวอร์ชั่น Draft for peer review A01–2021: Broken Access Control การอนุญาตให้เข้าถึงข้อมูลโดยที่ไม่มีการจำกัดสิทธิ์การเข้าถึง เช่น directory indexing ทำให้คนที่ไม่มีสิทธิ์สามารถเห็นไฟล์ต่างๆบนแอพพลิเคชั่น อย่างไฟล์ backup database, การให้สิทธิ์กับบาง user มากเกินไปทำให้สามารถแก้ไขข้อมูลของ user คนอื่นได้โดยที่เจ้าของไม่ทราบ ซึ่งผู้ไม่หวังดีอาจใช้ประโยชน์จากข้อบกพร่องในการควบคุมการเข้าถึงของแอพพลิเคชั่นที่เรียกว่า “forced browsing” เมื่อผู้ไม่หวังดีทราบ URL ที่เฉพาะคนที่มีสิทธิ์เท่านั้นหรือ…

First, we reseach the timetable of the train that can go to the burcharest and found this website. Schedule train station for go to the Bucharest From the timetable, you will see that the arrival train station in Romania was Bucuresti Nord station and the big international train station in…

เกริ่นก่อนว่าบล็อคนี้เป็นแค่การแชร์ประสบการณ์ความรู้สึกของ junior คนนึงเท่านั้นหลังเข้ามาทำงาน และหวังว่าบล็อคนี้จะเป็นประโยชน์ให้กับกลุ่มคนที่สนใจและอยากเริ่มต้นทำงานเป็น pentester ก่อนเริ่มอ่านบล็อคนี้ อยากให้ลองจินตนาการเขียนลงกระดาษก่อนว่า pentester ในมุมที่เราเข้าใจคืออะไร แล้วหลังจากอ่านบล็อคนี้จบแล้ว คำตอบยังตรงกันไหม Background ของผู้เขียน ก่อนได้มาทำงานเป็น pentester ไม่ได้จบสายคอมนะ จบวิศวอิเล็กทรอนิกส์และโทรคมนาคม

Intro First of all, This blog I use lab from CRTP in pentester academy to study and I will preview just some exploit from my understanding not full method.It is recommand for people without background AD attack but want to start as beginner.It use pure powershell exploit.No …

refer: https://github.com/bkimminich/juice-shop

You can download VM and practice from here Step1 : Set up VM kali linux and Kioptrix level 3 On kali VM, network setting ->Tap ‘Adapter 1’ choose ‘NAT’ ->Tab ‘Adapter 2’ choose ‘Host-Only’ On victim machine (Kioptrix level 3) ->Tab ‘Adapter 1’ choose ‘Host-Only’

Scope Target (In company will run mass scan several IP) Target IP: 10.10.221.255 What if we are pentester, what can we do for check vulnerability on this IP… In company we will focus on : - Vulnerability on port running - How it can be exploited? - How to remidate? - CVSS which can…

Today i would like to review how TryHackMe good for practice to be a pentester. I still not finished OSCP path on TryHackMe yet. As far as i read review blog people talk about prepare OSCP exam.They all recommended HackTheBox and Vulnhub by following TJnull in this link

บางครั้งเราอาจได้รับโจทย์ว่า ลองเข้าไปเช็ค servers ทั้งหมดในบริษัทให้หน่อยสิ ว่าติดตั้ง patch สำเร็จแล้วรึยัง หรือเข้าไป add user ในทุกเครื่องชั่วคราวเพื่อจะทำการ test บนเครื่องนั้นๆภายในเวลาเร่งด่วน ถ้าลิสต์ servers ที่เราต้องทำการ implement มีเป็นหมื่นเครื่อง ให้เวลาเรา 1 อาทิตย์ โดยมีคนในทีมแค่ 3 คน คิดว่าจะนั่ง remote เข้าไปทีละเครื่องๆทั้งวัน จะเสร็จทันไหมนะ ?? เรามารู้จักตัวช่วยตัวหนึ่งของ windows module ที่ชื่อว่า wmi กัน …