TryHackMe OWASP Top 10 2025: провалы IAAA — полное прохождение 2025

🎯 Узнайте о категориях A01, A07 и A09 и их связи со сбоями в применяемой модели IAAA.

🔗🔗 Ссылка на комнату: https://tryhackme.com/room/owasptopte...

В этой комнате рассматриваются 3 категории из списка OWASP Top 10 2025 года. В этой комнате вы узнаете о категориях, связанных со сбоями в реализации идентификации, аутентификации, авторизации и подотчётности (IAAA) в приложении. Вы примените теоретические знания на практике, выполнив задания. В этой комнате рассматриваются следующие категории:

📌A01: Нарушения контроля доступа
📌A07: Сбои аутентификации
📌A09: Сбои в ведении журнала и оповещения

Комната предназначена для новичков и не предполагает наличия у участников предварительного опыта в области безопасности.

🎯🎯 Задания комнаты: 🎯🎯

[00:00] 🐯 Задание 1: Введение

[01:47] 🐯 Задание 2: Что такое IAAA?
Что означает аббревиатура IAAA?

[02:56] 🐯 Задание 3: A01: Нарушение контроля доступа
Если вы не получаете доступ к большему количеству ролей, но можете просматривать данные других пользователей, какой тип повышения привилегий это?
Какую заметку вы обнаружили при просмотре учётной записи пользователя, на счету которого было более 1 миллиона долларов?

[05:50] 🐯 Задание 4: A07: Ошибки аутентификации
Какой флаг отображается на панели администратора?

[09:13] 🐯 Задание 5: A09: Журналирование сбоев и оповещение
Похоже, злоумышленник пытался провести атаку методом подбора пароля. Какой у него IP-адрес?
Похоже, ему удалось получить доступ к учётной записи! Какое имя пользователя связано с этой учётной записью?
Какие действия злоумышленник пытался выполнить с учётной записью? Перечислите конечную точку, к которой был получен доступ.

[13:45] 🐯 Задание 6: Заключение

⚠️ Только для образовательных целей
Этот контент предназначен только для образовательных целей и авторизованного тестирования на проникновение. Всегда проверяйте наличие разрешения перед тестированием на любых системах.

#tryhackme #owasp #owasptop10