Для початківців. Сьогодні останній день для реєстрації

https://www.coursera.org/professional-certificates/google-cybersecurity

Плейлист с докладами Security Fest 2023, который прошел недавно в Швеции. Хорошие слайды у STÖK по автоматизацией рекона с кучей однострочников (и не только).

https://www.youtube.com/playlist?list=PL0Jph6SmWIuMmZpl5NVjPQ_uDXHYw5Jii

Мій колега, з яким ми за одною партою розбирались із метасплоітом, циско iOS та реверс інжинірингом, завів власний канал в телеграм. Вийшло цікаво, як на мене, рекомендую підписатись

https://t.me/diary_of_deapul

Почав займатись багбаунті по вечорам. Вже є перший баг який пройшов попередню перевірку з 9.6 cvss. Тепер чекаю остаточних результатів тріажа...

Болеем за обе стороны!
Охуенная бойня. Хороших выходных!

https://www.bugbountyhunting.com/

Поисковик по Bug Bounty райтапам. На сайте собрано почти 2.5к ссылок на отчеты.

Лабы на мисконфиги в Amazon Web Service.

http://flaws.cloud/
http://flaws2.cloud/


Взято с @f10vv

На россии лег спутниковый провайдер с боевитым названием ДоZор-Телепорт, который подключает клиентов через спутники "Экспресс" и "Ямал". Как и в случае с атакой на Viasat в день вторжения, хакеры возможно повредили клиентское оборудование и ядро сети. Найти прошивку к спутниковым модемам и коммутаторам, когда ты плывешь на газпромовском танкере посреди льдов будет нелегко. Клиенты спутникового интернета (включая МО, ФСБ, Газпром, Россети) обычно находятся в такой жопе мира, что там можно разве что медведя позвать в качестве консультанта по Cisco. Полагаю, что для того чтобы восстановить ядро сети уйдет от нескольких дней до нескольких недель, а на восстановление терминалов уйдут месяцы. Даже жаль, что такой прекрасный провайдер достался пригожинским бандитам. С другой стороны, спутниковые провайдеры не закончатся никогда, да и смотреть как россияне бомбят Воронеж можно вечно 🙂 https://t.me/RichardWgn

"Типовой" клиент Дозора, которому нужно позвонить в службу поддержки. Через спутник.

презентация Modern Binary Diffing

https://docs.google.com/presentation/d/1aLPjH3_4v6Zt2cwzROzMKVBqf8w7vwYfzJCRFbA-xGQ/edit?usp=drivesdk

Теория
— What is GraphQL?
— Finding GraphQL endpoints
— Exploiting unsanitized arguments
— Discovering schema information
— Bypassing GraphQL introspection defences
— Bypassing rate limiting using aliases
— GraphQL CSRF

Практика
— Accessing private GraphQL posts
— Accidental exposure of private GraphQL fields
— Finding a hidden GraphQL endpoint
— Bypassing GraphQL brute force protections
— Performing CSRF exploits over GraphQL

На Portswigger добавили новые лабы с GraphQL. Для сдачи экзамена пока не обязательны.

— CloudFoxable
— FLAWS
— FLAWS2
— AWS Well Architected Security Labs
— CloudGoat
— OWASP ServerlessGoat
— OWASP WrongSecrets
— AWS S3 CTF Challenges
— CTF 101 worklab
— Breaking and Pwning Apps and Servers on AWS and Azure
— Thunder CTF
— Sadcloud
— Damn Vulnerable Cloud Application
— AWS Detonation Lab
— Cfngoat - Vulnerable Cloudformation Template
— CdkGoat - Vulnerable AWS CDK Infrastructure
— IAM Vulnerable
— PenTesting.Cloud
— AWSGoat - A Damn Vulnerable AWS Infrastructure
— AzureGoat - A Damn Vulnerable Azure Infrastructure
— caponeme
— TerraGoat - Vulnerable Terraform Infrastructure
— The Big IAM Challenge by Wiz
— CONVEX
— GCP Goat
— Lambhack

Уязвимые лаборатории, на которых можно поучиться находить уязвимости в облачных приложениях, развернутых в средах AWS, Azure или Google Cloud.