🖥️ Бережем зрение: ТОП-15 мониторов для программиста
В небольшом обзоре мы постарались выбрать относительно безопасные для зрения мониторы из разных ценовых категорий.
https://proglib.io/sh/VQmZeH9Ms8
В небольшом обзоре мы постарались выбрать относительно безопасные для зрения мониторы из разных ценовых категорий.
https://proglib.io/sh/VQmZeH9Ms8
#appsec #pentest #security
Обзор различных конструкций Go-кода, которые могут привести к уязвимостям.
https://proglib.io/w/07f23a84
Обзор различных конструкций Go-кода, которые могут привести к уязвимостям.
https://proglib.io/w/07f23a84
Elttam
Golang code review notes
elttam is an independent security company providing research-driven security assessment services. We combine pragmatism and deep technical insight to help our customers secure their most important assets.
#redteam #blueteam #practice
Подмена стеков вызовов для обхода решений класса EDR: далеко не новая, но довольно простая и эффективная техника.
🔗 Статья
🔗 Репозиторий
Подмена стеков вызовов для обхода решений класса EDR: далеко не новая, но довольно простая и эффективная техника.
🔗 Статья
🔗 Репозиторий
GitHub
GitHub - WithSecureLabs/CallStackSpoofer: A PoC implementation for spoofing arbitrary call stacks when making sys calls (e.g. grabbing…
A PoC implementation for spoofing arbitrary call stacks when making sys calls (e.g. grabbing a handle via NtOpenProcess) - WithSecureLabs/CallStackSpoofer
#practice #pentest #redteam
Game Of Active Directory — уязвимая лаборатория для отработки навыков пентеста инфраструктуры, построенной на базе Active Directory.
https://proglib.io/w/f87436fd
Game Of Active Directory — уязвимая лаборатория для отработки навыков пентеста инфраструктуры, построенной на базе Active Directory.
https://proglib.io/w/f87436fd
GitHub
GitHub - Orange-Cyberdefense/GOAD: game of active directory
game of active directory. Contribute to Orange-Cyberdefense/GOAD development by creating an account on GitHub.
#devsecops
Дорожная карта и обширная коллекция материалов для DevSecOps-специалистов.
https://proglib.io/w/d46b16a3
Дорожная карта и обширная коллекция материалов для DevSecOps-специалистов.
https://proglib.io/w/d46b16a3
GitHub
GitHub - hahwul/DevSecOps: ♾️ Collection and Roadmap for everyone who wants DevSecOps. Hope your DevOps are more safe 😎
♾️ Collection and Roadmap for everyone who wants DevSecOps. Hope your DevOps are more safe 😎 - hahwul/DevSecOps
#appsec #tools
Серия статей о создании AppSec-пайплайна с данными, генерируемыми в Burp Suite:
— Часть 1
— Часть 2
Серия статей о создании AppSec-пайплайна с данными, генерируемыми в Burp Suite:
— Часть 1
— Часть 2
Silentrobots
Building on an AppSec Pipeline with Burp Suite data - Part 1
In this two part series we are going to take Burp Suite Project files as input
from the command line, parse them, and then feed them into a testing pipeline.
The series is broken down into two parts:
1. Getting at the Data
[https://www.silentrobots.com/building…
from the command line, parse them, and then feed them into a testing pipeline.
The series is broken down into two parts:
1. Getting at the Data
[https://www.silentrobots.com/building…
#bugbounty #pentest
Подборка ресурсов из первых уст, которые помогут прокачать навыки в offensive security и оперативно узнавать о новых ресерчах, техниках и эксплойтах.
https://proglib.io/w/d5191042
Подборка ресурсов из первых уст, которые помогут прокачать навыки в offensive security и оперативно узнавать о новых ресерчах, техниках и эксплойтах.
https://proglib.io/w/d5191042
Хабр
Охота за багами: как прокачаться этичному хакеру, чтобы больше зарабатывать на поиске уязвимостей
Недавно мы запустили платформу The Standoff 365 Bug Bounty , объединяющую компании и исследователей безопасности для поиска уязвимостей и получения достоверной и независимой оценки защищенности...
#news
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Кибератака на заводы Ирана, боты-скальперы поработили граждан Израиля. Security-новости от главреда Securitylab.ru
— Топ 5 самых громких событий инфосека за июнь 2022 по версии T.Hunter
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Кибератака на заводы Ирана, боты-скальперы поработили граждан Израиля. Security-новости от главреда Securitylab.ru
— Топ 5 самых громких событий инфосека за июнь 2022 по версии T.Hunter
Хабр
Security Week 2227: наполовину пропатченные уязвимости
В мае мы цитировали отчет об уязвимостях нулевого дня, подготовленный командой Google Project Zero. Тогда была обнародована статистика за 2021 год, и в целом специалисты по безопасности Google...
#bugbounty #pentest
Автор статьи делится методологией, которая помогла ему преуспеть в Bug Bounty.
https://proglib.io/w/c1cc0516
Автор статьи делится методологией, которая помогла ему преуспеть в Bug Bounty.
https://proglib.io/w/c1cc0516
Medium
How To Earn Your First Bounty
I hope this finds you all well.
#appsec #tips
Выводы и мысли, которые сформировались после 5-летнего аудита кода технических стартапов.
https://proglib.io/w/32ab9537
Выводы и мысли, которые сформировались после 5-летнего аудита кода технических стартапов.
https://proglib.io/w/32ab9537
Ken Kantzer's Blog
Learnings from 5 years of tech startup code audits - Ken Kantzer's Blog
While I was leading PKC’s security practice, we did probably 20-30 code security audits, almost of all of them for startups that were just around their Series A or B (that was usually when they had cash and realized that it’d be good to take a deeper look…
Привет! На связи команда Proglib.academy.
«Библиотека программиста» живет и развивается 8 лет, и сейчас, как ты, наверное, уже знаешь, мы расширили сферу своей деятельности — делаем онлайн-курсы Proglib.academy.
Мы обучаем всех желающих программированию с нуля, помогая получить необходимые навыки программирования для успешной карьеры. У нас есть уже несколько запущенных и успешно продающихся курсов, и мы хотим, чтобы их стало больше.
Мы готовы расширять нашу команду и открыли вакансию Менеджера по продажам.
— если ты давно хотел стать частью нашей команды,
— если тема IT кажется тебе так же, как и нам, перспективной и вдохновляющей,
— если ты умеешь и любишь общаться с людьми,
— то, возможно, ты именно тот, кого мы ищем!
➡️ Все подробности можно узнать у нашего HR — Насти, bav@proglib.io
PS: если у вас есть знакомые продажники, просим вас скинуть им эту вакансию
«Библиотека программиста» живет и развивается 8 лет, и сейчас, как ты, наверное, уже знаешь, мы расширили сферу своей деятельности — делаем онлайн-курсы Proglib.academy.
Мы обучаем всех желающих программированию с нуля, помогая получить необходимые навыки программирования для успешной карьеры. У нас есть уже несколько запущенных и успешно продающихся курсов, и мы хотим, чтобы их стало больше.
Мы готовы расширять нашу команду и открыли вакансию Менеджера по продажам.
— если ты давно хотел стать частью нашей команды,
— если тема IT кажется тебе так же, как и нам, перспективной и вдохновляющей,
— если ты умеешь и любишь общаться с людьми,
— то, возможно, ты именно тот, кого мы ищем!
➡️ Все подробности можно узнать у нашего HR — Насти, bav@proglib.io
PS: если у вас есть знакомые продажники, просим вас скинуть им эту вакансию
#infosec
Дмитрий Агарунов о том, как создавался и как сегодня дела у популярного журнала «Хакер».
https://proglib.io/w/d9df8878
Дмитрий Агарунов о том, как создавался и как сегодня дела у популярного журнала «Хакер».
https://proglib.io/w/d9df8878
Хабр
Дмитрий Агарунов о том, как создавался «Хакер»
В конце девяностых годов на витринах ларьков появился смелый и необычный журнал о компьютерах — «Хакер». Возможно, многие из вас покупали и читали его. В прошлом посте я постарался подробно...
#writeup #bugbounty #pentest
Небезопасная десериализация в JavaScript???
Да, да. Подробнее в отчете GoogleCTF 2022 Web/HORKOS.
https://proglib.io/w/4e15298a
Небезопасная десериализация в JavaScript???
Да, да. Подробнее в отчете GoogleCTF 2022 Web/HORKOS.
https://proglib.io/w/4e15298a
Huli's blog
Insecure Deserialization in JavaScript: GoogleCTF 2022 Web/HORKOS Writeup
We all heard about insecure deserialization vulnerability and saw many real-world cases in Java, PHP, and other languages. But, we rarely hear about this vulnerability in JavaScript. I think it’s be
#bugbounty #pentest #event
Клуб неанонимных багхантеров
Стали доступны презентации 4-х докладов со встречи клуба белых хакеров. Вот темы:
— «Утечка неинициализированной памяти из OneDrive через картинки». Про историю эксплуатации одной уязвимости в опенсорсе и техники поиска аналогичных багов, Эмиль Лернер
— «No-code-автоматизация багхантинга на коленке за 5 минут». Про лайфхаки и опыт исследований, Максим Брагин
— «Взломай меня… полностью!». Про факапы, успехи, инструменты для багхантинга и самые дорогие баги, Рамазан Рамазанов
— «От Not Applicable до H1 Russian Top». Про приватную платформу SynAck, переход на full-time, первую пятизначную выплату и New Relic Top-1, Антон Субботин
https://proglib.io/w/c5830673
Клуб неанонимных багхантеров
Стали доступны презентации 4-х докладов со встречи клуба белых хакеров. Вот темы:
— «Утечка неинициализированной памяти из OneDrive через картинки». Про историю эксплуатации одной уязвимости в опенсорсе и техники поиска аналогичных багов, Эмиль Лернер
— «No-code-автоматизация багхантинга на коленке за 5 минут». Про лайфхаки и опыт исследований, Максим Брагин
— «Взломай меня… полностью!». Про факапы, успехи, инструменты для багхантинга и самые дорогие баги, Рамазан Рамазанов
— «От Not Applicable до H1 Russian Top». Про приватную платформу SynAck, переход на full-time, первую пятизначную выплату и New Relic Top-1, Антон Субботин
https://proglib.io/w/c5830673
Seafile
Клуб_неанонимных_багхантеров_1.07.2022
Share link for Клуб_неанонимных_багхантеров_1.07.2022.
#tips #bugbounty #pentest
Краткие и наглядные советы для эффективного тестирования безопасности веб-приложений с помощью Burp Suite.
https://proglib.io/w/02a98f61
Краткие и наглядные советы для эффективного тестирования безопасности веб-приложений с помощью Burp Suite.
https://proglib.io/w/02a98f61
TrustedSec
Intro to Web App Security Testing: Burp Suite Tips & Tricks
#pentest #redteam
Советы и полезные трюки для пост-эксплуатации с использованием подконтрольного оборудования Cisco.
https://proglib.io/w/4d7b82c4
Советы и полезные трюки для пост-эксплуатации с использованием подконтрольного оборудования Cisco.
https://proglib.io/w/4d7b82c4
Хабр
Пост-эксплуатация взломанного оборудования Cisco
Всем привет. Меня зовут @in9uz , я являюсь исследователем сетевой безопасности и сетевым инженером. В этой небольшой статье ты узнаешь как происходит процесс пост-эксплуатации взломанного...
#security #appsec
Практика управления безопасностью ПО в масштабных продуктах: Дмитрий Гадарь из Тинькофф рассказывает, как выстроить защиту и чем можно пожертвовать.
https://proglib.io/w/5ca8e512
Практика управления безопасностью ПО в масштабных продуктах: Дмитрий Гадарь из Тинькофф рассказывает, как выстроить защиту и чем можно пожертвовать.
https://proglib.io/w/5ca8e512
YouTube
Практика управления безопасностью ПО в масштабных продуктах — Дмитрий Гадарь, Тинькофф
Информационная безопасность важна для любой компании, а для финансовых компаний — втройне. Дмитрий Гадарь знает, как выстроить защиту и чем можно пожертвовать.
Платформы разработки удобны и существенно сокращают time to market. Уже сегодня на презентации…
Платформы разработки удобны и существенно сокращают time to market. Уже сегодня на презентации…
#tools
🔧 gokey — простой менеджер паролей на Go от Cloudflare, который не требует хранилища паролей.
Вместо того, чтобы хранить ваши пароли в хранилище, он получает их «на лету» из мастер-пароля и предоставленной строки (например, URL-адрес ресурса).
Таким образом, вам не нужно управлять, создавать резервные копии, синхронизировать хранилище паролей или доверять его управление третьей стороне, поскольку ваши пароли доступны немедленно в любом месте.
https://proglib.io/w/87e73b95
🔧 gokey — простой менеджер паролей на Go от Cloudflare, который не требует хранилища паролей.
Вместо того, чтобы хранить ваши пароли в хранилище, он получает их «на лету» из мастер-пароля и предоставленной строки (например, URL-адрес ресурса).
Таким образом, вам не нужно управлять, создавать резервные копии, синхронизировать хранилище паролей или доверять его управление третьей стороне, поскольку ваши пароли доступны немедленно в любом месте.
https://proglib.io/w/87e73b95
GitHub
GitHub - cloudflare/gokey: A simple vaultless password manager in Go
A simple vaultless password manager in Go. Contribute to cloudflare/gokey development by creating an account on GitHub.
#tools #security #pentest #recon #appsec
🔧 scanbox — коллекция инструментов для белых хакеров и автоматизации безопасности.
https://proglib.io/w/bdab50a1
🔧 scanbox — коллекция инструментов для белых хакеров и автоматизации безопасности.
https://proglib.io/w/bdab50a1
GitHub
GitHub - We5ter/Scanners-Box: A powerful and open-source toolkit for hackers and security automation - 安全行业从业者自研开源扫描器合辑
A powerful and open-source toolkit for hackers and security automation - 安全行业从业者自研开源扫描器合辑 - GitHub - We5ter/Scanners-Box: A powerful and open-source toolkit for hackers and security automation - 安全...
#pentest #bugbounty #writeup
Обнаружение тысячи открытых баз данных на AWS с конфиденциальными данными в 2022 году 🤷♂️
Подробно о том, как это было 👉 https://proglib.io/w/1b860fea
Обнаружение тысячи открытых баз данных на AWS с конфиденциальными данными в 2022 году 🤷♂️
Подробно о том, как это было 👉 https://proglib.io/w/1b860fea
Medium
How I Discovered Thousands of Open Databases on AWS
My journey on finding and reporting databases with sensitive data about Fortune-500 companies, Hospitals, Crypto platforms, Startups during…