#pentest #redteam
Gareth Heyes из PortSwigger рассказывает, как использовать одну ссылку для взлома содержимого PDF-файла и его эксфильтрации на удаленный сервер, а таке исполнять произвольный JavaScript-код в рамках документа с помощью эксплуатации уязвимости в ридере (среди которых есть Adobe Acrobat).
https://proglib.io/w/b1966a23
Gareth Heyes из PortSwigger рассказывает, как использовать одну ссылку для взлома содержимого PDF-файла и его эксфильтрации на удаленный сервер, а таке исполнять произвольный JavaScript-код в рамках документа с помощью эксплуатации уязвимости в ридере (среди которых есть Adobe Acrobat).
https://proglib.io/w/b1966a23
PortSwigger Research
Portable Data exFiltration: XSS for PDFs
Abstract PDF documents and PDF generators are ubiquitous on the web, and so are injection vulnerabilities. Did you know that controlling a measly HTTP hyperlink can provide a foothold into the inner w
#pentest #tools
Nuclei — многофункциональный инструмент для настраиваемого целевого сканирования на основе шаблонов, предлагающий широкие возможности расширения и простоту использования.
Предположим, вы исследуете безопасность определенной организации и встречаете на сетевом периметре Jira. Какие ваши действия? Вы смотрите версию, подбираете соответствующие версии эксплойтов и т. д.
Nuclei автоматизирует вашу работу и позволяет запустить готовый workflow, который сделает все за вас.
https://proglib.io/w/ad197421
Nuclei — многофункциональный инструмент для настраиваемого целевого сканирования на основе шаблонов, предлагающий широкие возможности расширения и простоту использования.
Предположим, вы исследуете безопасность определенной организации и встречаете на сетевом периметре Jira. Какие ваши действия? Вы смотрите версию, подбираете соответствующие версии эксплойтов и т. д.
Nuclei автоматизирует вашу работу и позволяет запустить готовый workflow, который сделает все за вас.
https://proglib.io/w/ad197421
#devsecops
Руководство по инструментам DevSecOps и методам обеспечения безопасности проектов с открытым исходным кодом на JavaScript и Node.js: https://proglib.io/w/2db8851d
Руководство по инструментам DevSecOps и методам обеспечения безопасности проектов с открытым исходным кодом на JavaScript и Node.js: https://proglib.io/w/2db8851d
Snyk
DevSecOps tools for open source projects
In this article, I’d like to propose best practices and discuss how maintainers, and developers, can adopt DevSecOps tools for open source projects.
#bugbounty
9 качественных подборок с советами по пентесту веб-приложений и участию в Bug Bounty: https://proglib.io/w/6dc89192
9 качественных подборок с советами по пентесту веб-приложений и участию в Bug Bounty: https://proglib.io/w/6dc89192
InfosecMatter
Bug Bounty Tips - InfosecMatter
Currated collection of bug bounty tips collected from the bug bounty community on Twitter sharing their #bugbountytips to help us all find more vulnerabilities.
#tool #pentest
Учимся работать с SQLmap — лучшим инструментом эксплуатации SQL-инъекций.
https://proglib.io/w/f3e4004b
Учимся работать с SQLmap — лучшим инструментом эксплуатации SQL-инъекций.
https://proglib.io/w/f3e4004b
HackerTarget.com
SQLmap Tutorial
Running sqlmap yourself is not difficult. This tutorial will take you from noob to ninja with this powerful sql injection testing tool. Sqlmap is a python
Вводим рубрику #quiz, в рамках которой будем освещать некоторые основы ИБ.
Какой сетевой пакет представляет собой сегмент данных?
Какой сетевой пакет представляет собой сегмент данных?
Anonymous Quiz
15%
ARP-пакет
24%
IP-пакет
33%
TCP-пакет
13%
UDP-пакет
15%
Посмотреть результаты
#quiz
Отметьте базу, совместимость с которой должны поддерживать современные сканеры уязвимостей.
Отметьте базу, совместимость с которой должны поддерживать современные сканеры уязвимостей.
Anonymous Quiz
5%
NDV
21%
OpenVAS
40%
CVE
8%
CWE
26%
Посмотреть результаты
#pentest
Test Lab 14 — лаборатория тестирования на проникновение от компании Pentestit, которая имитируют ИТ-инфраструктуру реальных компаний и создана для легального тестирования на проникновение и улучшения соответствующих навыков.
https://proglib.io/w/4f62dd61
Лаборатории уникальны и содержат актуальные уязвимости. Ознакомиться с прохождением нескольких предыдущих лабораторий можно здесь: 10, 11 и 12.
Test Lab 14 — лаборатория тестирования на проникновение от компании Pentestit, которая имитируют ИТ-инфраструктуру реальных компаний и создана для легального тестирования на проникновение и улучшения соответствующих навыков.
https://proglib.io/w/4f62dd61
Лаборатории уникальны и содержат актуальные уязвимости. Ознакомиться с прохождением нескольких предыдущих лабораторий можно здесь: 10, 11 и 12.
Какой протокол целесообразно использовать для передачи потокового аудио, если допустимы потери сетевого трафика?
Anonymous Quiz
9%
ICMP
2%
IP
63%
UDP
13%
TCP
13%
Посмотреть результаты
40 лучших курсов по математике для программистов
Программистам нужно развивать логическое мышление и сообразительность, поэтому мы подобрали для вас 40 лучших курсов по математике.
https://proglib.io/p/best-math-courses
Программистам нужно развивать логическое мышление и сообразительность, поэтому мы подобрали для вас 40 лучших курсов по математике.
https://proglib.io/p/best-math-courses
#pentest
История одного взлома: от чтения произвольных файлов до полной компрометации контроллера домена в Azure.
https://proglib.io/w/5da2a14a
История одного взлома: от чтения произвольных файлов до полной компрометации контроллера домена в Azure.
https://proglib.io/w/5da2a14a
Security Signal
How I Hacked a Domain Controller in Azure during a Penetration Test. - Security Signal
Prologue Throughout this post, I am going to tell you about one of the adventures that the assessment team had during a penetration testing of an Azure
#pentest #cheatsheet
Основы наступательной безопасности в одной шпаргалке: от OSINT'a, пентеста и разведки до работы в ЛВС жертвы, использования эксплойтов и взлома паролей.
https://proglib.io/w/bc970f01
Основы наступательной безопасности в одной шпаргалке: от OSINT'a, пентеста и разведки до работы в ЛВС жертвы, использования эксплойтов и взлома паролей.
https://proglib.io/w/bc970f01
highon.coffee
Penetration Testing Tools Cheat Sheet
Penetration testing tools cheat sheet, a high level overview / quick reference cheat sheet for penetration testing.
#pentest #reverse
В ходе проведения тестирования на проникновение могут возникнуть различные задачи, в том числе обратная разработка (reverse engineering). В сегодняшнем материале разберёмся, как реверсить APK-файлы Android.
https://proglib.io/w/c8493a00
В ходе проведения тестирования на проникновение могут возникнуть различные задачи, в том числе обратная разработка (reverse engineering). В сегодняшнем материале разберёмся, как реверсить APK-файлы Android.
https://proglib.io/w/c8493a00
Medium
Hunting for Bugs in Damn Insecure and Vulnerable App
Reverse Engineer Android APK File
#security #dev
Краткий обзор безопасного хеширования и хранения паролей с примерами на языке Python.
https://proglib.io/w/ba83d802
Краткий обзор безопасного хеширования и хранения паролей с примерами на языке Python.
https://proglib.io/w/ba83d802
DEV
How to securely hash and store passwords in your next application
Are you hashing your user's passwords? More importantly, are you doing it correctly? There's a lot of...
#quiz
Какой протокол не совсем пригоден для организации VPN?
Какой протокол не совсем пригоден для организации VPN?
Anonymous Quiz
9%
IPSec
8%
L2TP
18%
PPTP
42%
S/MIME
23%
Посмотреть результаты
#cheatsheet #pentest #bugbounty
Обширная шпаргалка по обнаружению и эксплуатации слепых SQL-инъекций.
https://proglib.io/w/55ac7175
Обширная шпаргалка по обнаружению и эксплуатации слепых SQL-инъекций.
https://proglib.io/w/55ac7175
Medium
Blind SQL Injection Detection and Exploitation (Cheatsheet)
Hi everyone,
#bugbounty #pentest
Подборка ключевых инструментов для пентеста в 2020 году по версии Research Labs:
- Nuclei
- Spyse Search Engine
- Smuggler
- GoBuster
- truffleHog
- Dufflebag
- GadgetProbe
- RMIScout
- kube-bench и kube-hunter
Полное описание
Нельзя не коснуться и самых критических CVE, которые наделали много шума в 2020 году.
Подборка ключевых инструментов для пентеста в 2020 году по версии Research Labs:
- Nuclei
- Spyse Search Engine
- Smuggler
- GoBuster
- truffleHog
- Dufflebag
- GadgetProbe
- RMIScout
- kube-bench и kube-hunter
Полное описание
Нельзя не коснуться и самых критических CVE, которые наделали много шума в 2020 году.
GitHub
GitHub - projectdiscovery/nuclei: Nuclei is a fast, customizable vulnerability scanner powered by the global security community…
Nuclei is a fast, customizable vulnerability scanner powered by the global security community and built on a simple YAML-based DSL, enabling collaboration to tackle trending vulnerabilities on the ...