Очкопёк опять себе натер что-то, это бывает на жаре. Лучше пользоваться детской присыпкой или вазелиновым маслом.

А куда пропал КиллНет? Они уже взяли на себя ответственность за недавнюю кибероперацию по стремительному разогреву литий-ионных аккумуляторов чебуречной в Махачкале? Или бутылку первенства по уничтожению НАТО теперь оседлал Очкопёк? Кстати, пару месяцев назад обещали уничтожение всей европейской банковской системы. Но почему тогда наебнулся рупь?
Вопросы риторические.

1. How to find Origin IP
2. NucleiFuzzer = Nuclei + Paramspider
3. CRLF injection allow => cookie injection in root domain & xss|
4. How to Find XSS in Wide Scope
5. Remote Code Execution | A Story of Simple RCE on Jenkins Instance.
6. Defeat the HttpOnly flag to achieve Account Takeover | RXSS
7. Discovering Login Panels and Detecting SQL Injection with Logsensor
8. Automating web pentesting with jaeles scanner
9. Afrog scanner for bug bounty hunters
10. RCE via Dependency Confusion
11. How to Get Unique Subdomains on Large scope
12. Expose domains over Akamai or Cloudflare with HEDnsExtractor and httpx

#bugbountytips #доклады

https://blog.securitybreached.org/2023/08/18/bug-bounty-blueprint-a-beginners-guide/

Подробное руководство по Bug Bounty в 2023 году. Где, что и как нужно искать, чтобы получить максимальный профит.

Много ссылок на кейсы из жизни, ресерчи известных баг хантеров, лабы и репозитории с полезными утилитами.

Cyber School та CyberUnit.tech запрошують прийняти участь у змаганнях з кібербезпеки CTF - Capture The Flag на першому українському кіберполігоні UnitRange.

⁉️Коли?
Перший CTF відбудеться 08 вересня о 19:00 онлайн на платформі UnitRange

⁉️Як часто?
Змагання будуть проводитись 2 рази на місяць по п'ятницях протягом 4х місяців з вересня по грудень 2023 року.

Участь у змаганнях безкоштовна для всіх.

Cyber Unity Fridays - змагання заради об'єднання спільноти 🇺🇦

Реєстрація команд відкрита за посиланням

https://ctf.cyberschool.tech


Кількість місць обмежена, встигніть зареєструвати вашу команду

Змагання відбуваються за підтримки:
Міністерства Цифрової Трансформації України
НКЦК
CyberPeople - платформа для пошуку роботи у сфері кібербезпеки

Привіт! Ми таки зібрали кошти, москалям назло :)

Дрон куплений, прошитий, і вже знаходиться на сході у наших військових

Щира подяка всім хто долучився. Слава Україні!

Mshikaki: is a shellcode injection tool designed to bypass AMSI (Antimalware Scan Interface). It leverages the QueueUserAPC() injection technique and offers support for XOR encryption, making it a powerful tool for security researchers and penetration testers
https://github.com/trevorsaudi/Mshikaki

Однажды Sean Brian Townsend шёл по одесскому пляжу, думал о том, что мы все живём в матрице, и грустно смотрел под ноги, потому что купаться было нельзя из-за мин. В песке он заметил бутылку, подозрительно похожую на коньяк "Магарач", когда его ещё делали только маленькими экспериментальными партиями в Институте виноделия, и возрадовался. Но при ближайшем рассмотрении бутылка оказалась непрозрачной, с сургучной печатью, на которой проступал религиозный символ страны, с которой сложные отношения.

Шон конечно же применил брутфорс и открыл бутылку, из которой немедленно вылез джинн.

— Значит так, у тебя есть три желания, — сообщил джинн. — Но нельзя желать, чтобы кто-то умер, даже Путин, нельзя желать, чтобы кто-то влюбился в тебя, даже Безуглая, и нельзя желать больше желаний.

— А меньше желаний желать можно? — уточнил Шон, продолжая думать про матрицу.

Джин озадачился, почесал в затылке и решил, что можно.

— Тогда я хочу чтобы количество моих желаний уменьшилось на три.

— Зачем? — поинтересовался джинн.

— Потому что я думаю, что ваши джинновые серверы записывают количество желаний в целочисленные переменные и не хранят информацию об отрицательных значениях, так что когда количество моих желаний уменьшится на три, оно станет равно нулю, после чего тебе нужно вычесть ещё единицу за то желание, которое только что исполнилось, переменная переполнится и количество моих желаний станет равно максимальному возможному значению.

— Слушай, я из 900-х годов до нашей эры, я не понимаю, — покачал головой джинн. — Меня как царь Соломон запечатал сюда, я выпал из новостной ленты совершенно.

— Ты просто сделай так, как я говорю, — посоветовал Шон.

Джинн вырвал жменьку волос из бороды, пошептал, поводил руками в воздухе, и ничего не произошло. Тогда он достал из широких шаровар записной свиток из папируса.

— У тебя теперь три желания, — прокомментировал он, сверившись с папирусом.

— Отакої, — удивился Шон.

— Но вообще довольно здорово, — попытался ободрить его джинн. — Я никогда раньше не видел, чтобы человек загадал желание, и у него осталось столько же желаний. Даже если бесполезное. Хороший фокус для вечеринок.

— Двухбитная переменная, — удивился Шон. — Необычно.

— Может, дворец? — сочувственно предложил джинн. — Миллион динаров? Хрустальный мост от Киева до Европарламента? Я могу, если что...

— Я хочу, чтобы переменная, хранящая информацию о доступных мне желаниях, стала 16-битной, — определился Шон.

— Я всё ещё не понимаю, — покачал головой джин. — 900-е годы. До нашей эры.

— Это ничего, — ответил Шон, привыкший иметь дело с гуманитариями. — Ты просто сделай то что я сказал, слово в слово.

Джинн вырвал волоски из брови, пошептал, поводил руками, и снова ничего не произошло. Он снова сверился с папирусом.

— У тебя теперь два желания, — развёл руками он.

— А вот теперь я хочу, чтобы у меня стало на два желания меньше.

Джинн вырвал волоски из подмышки, поколдовал и посмотрел в папирус.

— У тебя 65 535 желаний, — озадаченно сказал он.

Шон Таунсенд нехорошо улыбнулся.

— Я же говорил, что мы живём в матрице. Присаживайся. Записывай. Значит, во-первых...

API Security Academy by Escape.tech

API Security Academy — это бесплатная коллекция интерактивных заданий, которые научат вас атаковать и защищать приложения, использующие GraphQL.

Академия предоставляет подробные уроки, из которых вы узнаете о различных уязвимостях и передовых методах обеспечения защиты GraphQL.

Каждый урок предоставляет работающее веб-приложение с GraphQL, поэтому вы не только поймете, почему уязвимость опасна, но и как ее использовать и, самое главное, как ее исправить.

Уже сейчас есть можно пройти:
— Prevent Mutation Brute-Force Attacks
— Implement Object-Level Authorization
— Disable Debug Mode for Production
— Combat SQL Injections
— Limit Query Complexity
— Implement Field-Level Authorization
— Configure HTTP Headers for User Protection
— Validate JSON Inputs

Скоро появятся:
— Mitigate Server Side Request Forgery
— Implement Rate-Limiting for Bot Deterrence
— Abort Expensive Queries for Protection

На старте был отдан приоритет GraphQL, но разработчики обещают и другие типы API.

KeyHacks показывает способы использования различных API-ключей, которые могут быть найденные во время тестирования.


https://github.com/streaak/keyhacks

Mindmap/Enumeration/Enumeration HD.png at main · Ignitetechnologies/Mindmap · GitHub
https://github.com/Ignitetechnologies/Mindmap/blob/main/Enumeration/Enumeration%20HD.png