#tip #bugbounty #pentest
Если перед вами сокращенная ссылка, которая предоставляет доступ к чему-то, связанному с учетной записью, используйте атаку Cluster bomb в Burp Intruder: перебор A-Z & 0-9 для каждого символа.
Если перед вами сокращенная ссылка, которая предоставляет доступ к чему-то, связанному с учетной записью, используйте атаку Cluster bomb в Burp Intruder: перебор A-Z & 0-9 для каждого символа.
#news
Специалисты «Лаборатории Касперского» опубликовали исследование троянской программы, которая распространялась вместе с криптокошельком. Особенности атаки указывают на ее связь с известной группировкой Lazarus. Совместная работа с корейским центром реагирования на киберугрозы KrCERT помогла исследовать не только клиентский вредоносный код, но и серверную инфраструктуру. Эту и другие новости читайте очередной подборке:
— Security Week 2215: криптокошелек со встроенным трояном
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— $15 млн украли при взломе DeFi протокола, критическая уязвимость Android. Security-новости от главреда Securitylab.ru
Специалисты «Лаборатории Касперского» опубликовали исследование троянской программы, которая распространялась вместе с криптокошельком. Особенности атаки указывают на ее связь с известной группировкой Lazarus. Совместная работа с корейским центром реагирования на киберугрозы KrCERT помогла исследовать не только клиентский вредоносный код, но и серверную инфраструктуру. Эту и другие новости читайте очередной подборке:
— Security Week 2215: криптокошелек со встроенным трояном
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— $15 млн украли при взломе DeFi протокола, критическая уязвимость Android. Security-новости от главреда Securitylab.ru
securelist.ru
Lazarus распространяет протрояненный DeFi-кошелек
Недавно мы обнаружили зараженное DeFi-приложение, которое имплантирует в систему бэкдор. Проанализировав этот бэкдор, мы обнаружили совпадения с другими инструментами группы Lazarus.
#tools #recon #bugbounty #pentest
🔧Jeeves — инструмент для быстрого поиска Time-Based Blind SQL-инъекций.
https://proglib.io/w/e465a93c
🔧Jeeves — инструмент для быстрого поиска Time-Based Blind SQL-инъекций.
https://proglib.io/w/e465a93c
GitHub
GitHub - ferreiraklet/Jeeves: Jeeves SQLI Finder
Jeeves SQLI Finder. Contribute to ferreiraklet/Jeeves development by creating an account on GitHub.
#bugbounty #pentest
Коллекция полезных нагрузок, советов и хитростей для охотников за ошибками и пентестеров.
https://proglib.io/w/5a0c4ac5
Коллекция полезных нагрузок, советов и хитростей для охотников за ошибками и пентестеров.
https://proglib.io/w/5a0c4ac5
GitHub
GitHub - EdOverflow/bugbounty-cheatsheet: A list of interesting payloads, tips and tricks for bug bounty hunters.
A list of interesting payloads, tips and tricks for bug bounty hunters. - EdOverflow/bugbounty-cheatsheet
#bugbounty
История о том, как челлендж
https://proglib.io/w/aeb2d6b4
История о том, как челлендж
#100DaysOfHacking
помог прекратить учиться и начать взламывать. Упорство и ежедневная работа — вот цена успеха в Bug Bounty.https://proglib.io/w/aeb2d6b4
YouTube
How to Stop Learning and Start Hacking!
It's so easy to get caught in a cycle where all you do is learn and you never manage to get hacking. In this video I'll tell you why learning too much can be a bad thing, how to get out of the cycle, and also give out some motivational wisdom to get you hacking.…
#security #devsecops #devops #pentest
CI/CD Goat — заведомо уязвимая инфраструктура CI/CD, которую можно развернуть локально. Взламывайте CI/CD пайплайны и получайте флаги.
https://proglib.io/w/01e25d34
CI/CD Goat — заведомо уязвимая инфраструктура CI/CD, которую можно развернуть локально. Взламывайте CI/CD пайплайны и получайте флаги.
https://proglib.io/w/01e25d34
#practice #pentest #redteam
Запись воркшопа, в рамках которого освещались теоретические и практические аспекты атаки на AWS Elastic Kubernetes Service (EKS).
📺 Смотреть
Запись воркшопа, в рамках которого освещались теоретические и практические аспекты атаки на AWS Elastic Kubernetes Service (EKS).
📺 Смотреть
YouTube
Live Workshop - Attacking AWS Elastic Kubernetes Service (EKS)
Join the AppSecEngineer Discord and chat with us there: https://discord.gg/SRRGbm6sDe
Our new workshop, Attacking AWS Elastic Kubernetes Service (EKS), will explore Kubernetes within AWS.
Amazon EKS is a managed Kubernetes service that allows for massive…
Our new workshop, Attacking AWS Elastic Kubernetes Service (EKS), will explore Kubernetes within AWS.
Amazon EKS is a managed Kubernetes service that allows for massive…
Привет! 👋 Мы ищем контент-менеджера для ведения наших профильных тг-каналов. Увлеченность вопросами разработки и информационных технологий обязательна.
➡️ Подробнее о вакансии
➡️ Форма для отклика
➡️ Подробнее о вакансии
➡️ Форма для отклика
#practice #pentest #bugbounty
5 бесплатных практических лабораторий для освоения SSRF-уязвимости:
1. PortSwigger SSRF Labs
2. Server-Side Request Forgery (SSRF) vulnerable Lab
3. Vulnado SSRF Lab
4. Snyk SSRF Lab
5. Kontra SSRF Lab
5 бесплатных практических лабораторий для освоения SSRF-уязвимости:
1. PortSwigger SSRF Labs
2. Server-Side Request Forgery (SSRF) vulnerable Lab
3. Vulnado SSRF Lab
4. Snyk SSRF Lab
5. Kontra SSRF Lab
portswigger.net
What is SSRF (Server-side request forgery)? Tutorial & Examples | Web Security Academy
In this section we explain what server-side request forgery (SSRF) is, and describe some common examples. We also show you how to find and exploit SSRF ...
Forwarded from Библиотека Go-разработчика | Golang
Реверс Go-бинарей с использованием Ghidra
Запись доклада на Hack In The Box Cyber Week 2021 о реверсе Go-бинарей с помощью Ghidra. Доклад включает введение в семейства вредоносных IoT-программ, написанные на Go, обсуждение уникальных особенностей и препятствий бинарных файлов Go, решение распространенных проблем при реверсе вредоносного ПО на Go, разбор сценариев Ghidra, которые используют докладчики в ходе реверса, а также исследование последних разработок вокруг обфускации Go и криптеров Linux.
📺 Смотреть
Запись доклада на Hack In The Box Cyber Week 2021 о реверсе Go-бинарей с помощью Ghidra. Доклад включает введение в семейства вредоносных IoT-программ, написанные на Go, обсуждение уникальных особенностей и препятствий бинарных файлов Go, решение распространенных проблем при реверсе вредоносного ПО на Go, разбор сценариев Ghidra, которые используют докладчики в ходе реверса, а также исследование последних разработок вокруг обфускации Go и криптеров Linux.
📺 Смотреть
YouTube
#HITBCW2021 D1 - Reversing GO Binaries With Ghidra - Albert Zsigovits and Dorka Palotay
Golang is Google’s open-source programming language, which in recent years has gained attention among developers. It is not only used for good purposes but, in a developing trend, malicious intent is often observed in Golang code.
The fact that Golang supports…
The fact that Golang supports…
#news
Подборка ИБ-новостей за неделю:
— Security Week от компании «Лаборатория Касперского»
— 128 уязвимостей Microsoft, T-Mobile купила у хакеров украденные данные. Security-новости от главреда Securitylab.ru
Подборка ИБ-новостей за неделю:
— Security Week от компании «Лаборатория Касперского»
— 128 уязвимостей Microsoft, T-Mobile купила у хакеров украденные данные. Security-новости от главреда Securitylab.ru
Хабр
Security Week 2216: когда кнопка Mute не работает
На прошлой неделе группа исследователей из трех американских университетов опубликовала научную работу , в которой анализируется реальная функциональность кнопки Mute в приложениях для...
#writeup #pentest #redteam
Несколько простых шагов и RCE в Jenkins у вас в кармане. В конце статьи приведены рекомендации, как этого можно избежать.
https://proglib.io/w/290ca232
Несколько простых шагов и RCE в Jenkins у вас в кармане. В конце статьи приведены рекомендации, как этого можно избежать.
https://proglib.io/w/290ca232
Оплачиваемая программа развития для молодых специалистов от ВТБ в сфере информационной безопасности с ДМС и возможностью остаться в штате.
Хочешь получить работу в ВТБ с ДМС и достойной зарплатой? Тогда скорее регистрируйся на оплачиваемую программу развития. Приглашаются студенты и выпускники бакалавриата, специалитета 2019-2022 годов или магистратуры 2019-2024 годов по специальностям информационная безопасность и IT-технологии.
Вот несколько причин, почему стоит подать заявку:
— Возможность остаться в штате компании после окончания программы;
— ДМС и конкурентная зарплата еще на этапе обучения;
— Интересные проекты: под руководством лучших наставников ты сможешь отслеживать и анализировать уязвимости информационных систем;
— Постоянное обучение: ты будешь совмещать онлайн-занятия, практические задания и работу над актуальными бизнес-задачами внутри отдела. Тебя ждут более 72 часов вебинаров и регулярная обратная связь.
Регистрируйся до 15 мая включительно: https://clck.ru/gLtG4
Хочешь получить работу в ВТБ с ДМС и достойной зарплатой? Тогда скорее регистрируйся на оплачиваемую программу развития. Приглашаются студенты и выпускники бакалавриата, специалитета 2019-2022 годов или магистратуры 2019-2024 годов по специальностям информационная безопасность и IT-технологии.
Вот несколько причин, почему стоит подать заявку:
— Возможность остаться в штате компании после окончания программы;
— ДМС и конкурентная зарплата еще на этапе обучения;
— Интересные проекты: под руководством лучших наставников ты сможешь отслеживать и анализировать уязвимости информационных систем;
— Постоянное обучение: ты будешь совмещать онлайн-занятия, практические задания и работу над актуальными бизнес-задачами внутри отдела. Тебя ждут более 72 часов вебинаров и регулярная обратная связь.
Регистрируйся до 15 мая включительно: https://clck.ru/gLtG4