Hack4Sec - Перевод документации Burp Suite для версии 1.4.01

Здравствуйте. Сегодня, на сайте команды Hack4Sec опубликован русскоязычный перевод документации Burp Suite последней версии. С каждой новой версией убеждаюсь в том, что BS - отличная вещь, и что скоро он мне заменит все мелкие скрипты и утилиты используемые при исследовании веб-приложений.
Всем кто занимается веб-безопасностью и до сих пор с ним не знаком - очень рекомендую зайти на http://portswigger.net/ и почитать описание.
Ну и ссылки на саму документацию:
http://rghost.ru/23497211
https://hack4sec.opendrive.com/files?46960396_8AH3E
И на оригинальный пост в блоге нашей команды:
http://hack4sec.blogspot.com/2011/09/burp-suite-1401.html

Веб-разведка: релиз версии 1.0.1a

Здравствуйте. Сегодня я наконец-то закончил работу над версией 1.0.1a. Новый релиз содержит 10 значительных изменений, перечисленных под катом.

Релиз команды Hack4Sec - Аналитический Центр

Здравствуйте. Сегодня под флагом команды Hack4Sec состоялся выпуск нового приложения, автором которого я являюсь. Это Аналитический Центр - приложение предназначенное для сбора и хранения информации при объёмных pen-тестах. Особенно оно может помочь при командной работе. Ниже приводится содержимое соответствующего поста в блоге команды Hack4Sec (оригинал).

Статья "XSS: Разведка боем"

Здравствуйте. Рад представить вам свою новую статью на тему нестандартного использования XSS-уязвимостей. В ней рассказывается как  с помощью нехитрого JS-кода и простого PHP-приложения получать визуальные копии целых веб-приложений от лица сторонних пользователей.
Рекомендую сразу качать PDF-вариант чтоб читать материал в нормальном оформлении и с адекватной шириной страницы.

Релиз команды Hack4Sec - Веб-разведка

Здравствуйте! Наконец настал час публикации первого релиза команды Hack4Sec, основным автором которого я являюсь. Для меня это даже небольшой праздник, так как на разработку ВР у меня ушло довольно много времени (примерно 6 месяцев). На данный момент продукт находится на стадии альфа-тестирования и я заранее благодарен всем кто будет им пользоваться и сообщать о недочётах (надеюсь не многочисленных) в его работе. Ознакомиться с кратким описанием продукта, а также скачать его, можно на сайте нашей команды:
http://hack4sec.blogspot.com/2011/05/blog-post.html

Аудит DiafanCMS

Буквально пару недель назад я закончил проводить анализ платного движка DiafanCMS. Вначале, увидев очень низкую стоимость продукта, я решил что уязвимостей здесь должно быть много. Но в последствии оказалось что я ошибся. Разработчикам DiafanCMS удалось создать очень хороший продукт с понятным, хорошо структурированным кодом, и отличной защитой. Но я не был бы собой еслиб мне не удалось найти несколько изъянов :), хоть и не критичного уровня риска. Кстати все баги были исправлены достаточно быстро, чего я от платных продуктов в последнее время перестал ожидать.
Теперь я знаю какую CMS выбрать если встанет необходимость поднятия какого-нибудь сайта в короткий срок. Однозначно Diafan. И документация есть, и внутри всё грамотно устроено, и в защищённости сам убедился.А платность продукта, при их цене, вообще никакой проблемы не делает.

Аудит NgCMS

До нового года удалось познакомиться с проектом NgCMS. Это очень не плохой движок с приличным набором пользовательского функционала. Разочаровало одно - нет документации для разработчиков, из-за чего пришлось разбираться в NgCMS практически с нуля. Код внутри оказался достаточно простым и интуитивно понятным, но только тогда когда я хоть чуть-чуть стал понимать азы устройства этой системы. Кстати, такое положение вещей очень редко встречается в бесплатных CMS. Мне чаще попадается очень запутанный код, который с трудом поддаётся анализу (это если исключить очень популярные движки, хотя тут же на ум приходит WordPress... Вообщем вы меня поняли :) ).
В процессе анализа я был сильно удивлён. Дело в том, что были прикрыты практически все места где была хотя бы малейшая вероятность обнаружения уязвимости. Всё грамотно экранировалось, приводилось к нужному типу и т.д. Видно разработчики NgCMS очень хорошие программисты.
Кончилось всё тем что меня поблагодарили и пригласили провести аудит следующей версии, которая должна выйти в ближайшее время :)