#news

Очередная подборка новостей для этичного хакера:

— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Кибератака на заводы Ирана, боты-скальперы поработили граждан Израиля. Security-новости от главреда Securitylab.ru
— Топ 5 самых громких событий инфосека за июнь 2022 по версии T.Hunter

#devsecops #security

🔥OWASP DevSecOps Guideline: https://proglib.io/w/4bbdf5cf

#bugbounty #pentest

Автор статьи делится методологией, которая помогла ему преуспеть в Bug Bounty.

https://proglib.io/w/c1cc0516

#appsec #tips

Выводы и мысли, которые сформировались после 5-летнего аудита кода технических стартапов.

https://proglib.io/w/32ab9537

Привет! На связи команда Proglib.academy.

«Библиотека программиста» живет и развивается 8 лет, и сейчас, как ты, наверное, уже знаешь, мы расширили сферу своей деятельности — делаем онлайн-курсы Proglib.academy.

Мы обучаем всех желающих программированию с нуля, помогая получить необходимые навыки программирования для успешной карьеры. У нас есть уже несколько запущенных и успешно продающихся курсов, и мы хотим, чтобы их стало больше.

Мы готовы расширять нашу команду и открыли вакансию Менеджера по продажам.

— если ты давно хотел стать частью нашей команды,
— если тема IT кажется тебе так же, как и нам, перспективной и вдохновляющей,
— если ты умеешь и любишь общаться с людьми,
— то, возможно, ты именно тот, кого мы ищем!

➡️ Все подробности можно узнать у нашего HR — Насти, bav@proglib.io

PS: если у вас есть знакомые продажники, просим вас скинуть им эту вакансию

#infosec

Дмитрий Агарунов о том, как создавался и как сегодня дела у популярного журнала «Хакер».

https://proglib.io/w/d9df8878

#writeup #bugbounty #pentest

Небезопасная десериализация в JavaScript???

Да, да. Подробнее в отчете GoogleCTF 2022 Web/HORKOS.

https://proglib.io/w/4e15298a

#bugbounty #pentest #event

Клуб неанонимных багхантеров

Стали доступны презентации 4-х докладов со встречи клуба белых хакеров. Вот темы:

— «Утечка неинициализированной памяти из OneDrive через картинки». Про историю эксплуатации одной уязвимости в опенсорсе и техники поиска аналогичных багов, Эмиль Лернер 
— «No-code-автоматизация багхантинга на коленке за 5 минут». Про лайфхаки и опыт исследований, Максим Брагин 
— «Взломай меня… полностью!». Про факапы, успехи, инструменты для багхантинга и самые дорогие баги, Рамазан Рамазанов
— «От Not Applicable до H1 Russian Top». Про приватную платформу SynAck, переход на full-time, первую пятизначную выплату и New Relic Top-1, Антон Субботин

https://proglib.io/w/c5830673

#tips #bugbounty #pentest

Краткие и наглядные советы для эффективного тестирования безопасности веб-приложений с помощью Burp Suite.

https://proglib.io/w/02a98f61

#pentest #redteam

Советы и полезные трюки для пост-эксплуатации с использованием подконтрольного оборудования Cisco.

https://proglib.io/w/4d7b82c4

#security #appsec

Практика управления безопасностью ПО в масштабных продуктах: Дмитрий Гадарь из Тинькофф рассказывает, как выстроить защиту и чем можно пожертвовать.

https://proglib.io/w/5ca8e512

#tools

🔧 gokey — простой менеджер паролей на Go от Cloudflare, который не требует хранилища паролей.

Вместо того, чтобы хранить ваши пароли в хранилище, он получает их «на лету» из мастер-пароля и предоставленной строки (например, URL-адрес ресурса).

Таким образом, вам не нужно управлять, создавать резервные копии, синхронизировать хранилище паролей или доверять его управление третьей стороне, поскольку ваши пароли доступны немедленно в любом месте.

https://proglib.io/w/87e73b95

#tools #security #pentest #recon #appsec

🔧 scanbox — коллекция инструментов для белых хакеров и автоматизации безопасности.

https://proglib.io/w/bdab50a1

#pentest #bugbounty #writeup

Обнаружение тысячи открытых баз данных на AWS с конфиденциальными данными в 2022 году 🤷‍♂️

Подробно о том, как это было 👉 https://proglib.io/w/1b860fea

#reverse #practice

Четырехчасовой воркшоп по особенностям использования и работы с Frida

Внутри практические примеры, обзор особенностей работы Frida, способов подмены функций и много другого.

Видео & Слайды

​#forensic #security

🔧Tracee — инструмент для форензики и исследования безопасности Linux. Он использует eBPF для отслеживания системы и приложений во время выполнения, анализирует собранные события для обнаружения подозрительных моделей поведения. И да, документация просто прекрасна.

https://proglib.io/w/7b276d51

#security #blueteam #pentest #redteam

История об именно той ситуации, при которой патчинг является не комплексным исправлением уязвимостей, а всего лишь «латанием дыр». Печально это осознавать в 2022 году.

https://proglib.io/w/d342a728

#pentest #bugbounty #practice

Разбираем несколько проблем с безопасностью веб-сервера Nginx, на которые стоит обращать внимание при анализе веб-приложения.

https://proglib.io/w/19f88a57

Главное преимущество летнего поиска работы — низкий уровень конкуренции. К тому же, сейчас на IT-рынке большая нехватка кадров и множество открытых вакансий.

Чтобы наши читатели не отвлекались на нерелевантные предложения, мы сделали ряд тематических телеграм-каналов с вакансиями по отдельным языкам (Python, Java, Go, C#, C++, PHP, JavaScript) и различным направлениям: тестированию, мобильной разработке, информационной безопасности и Data Science.

Присоединяйтесь! Будем рады помочь найти вам лучшую работу.

Оценка безопасности Android-приложений многогранна и может включать автоматическое тестирование безопасности, фаззинг, ручное тестирование на проникновение и многое другое. Если хотите попрактиковаться в этом деле, то добро пожаловать на YouTube-канал Android AppSec.

https://proglib.io/w/6d0a483e

#news

Очередная подборка новостей для этичного хакера:

— Security Week от «Лаборатории Касперского»
— Хакеры угоняют автомобили Honda, новый неуловимый Linux-вредонос Orbit. Security-новости от главреда Securitylab.ru
— CWE Top 25 2022: обзор изменений от PVS-Studio