#blockchain #security #pentest
Введение в исследование безопасности смарт-контрактов:
— Reentrancy Attack
— Overflow (перевод)
— Selfdestruct
— Accessing Private Data
— Delegatecall: ч. 1 & ч. 2
Введение в исследование безопасности смарт-контрактов:
— Reentrancy Attack
— Overflow (перевод)
— Selfdestruct
— Accessing Private Data
— Delegatecall: ч. 1 & ч. 2
Medium
Intro to Smart Contract Security Audits | Reentrancy Attack
Introduction to Smart Contract Vulnerabilities: Reentrancy Attack
Cloud_Attack_Vectors.pdf
6.9 MB
#cloud #security #pentest
Cloud Attack Vectors: Building Effective Cyber-Defense Strategies to Protect Cloud Resources, 2022
Авторы: Morey J. Haber, Brian Chappell, Christopher Hills
Перед вами книга, которая подробно описывает:
— риски, связанные с облачным развертыванием,
— методы, которые используют злоумышленники,
— эмпирически проверенные защитные меры, которые должны принять организации,
и показывают, как улучшить обнаружение вредоносной активности.
Cloud Attack Vectors: Building Effective Cyber-Defense Strategies to Protect Cloud Resources, 2022
Авторы: Morey J. Haber, Brian Chappell, Christopher Hills
Перед вами книга, которая подробно описывает:
— риски, связанные с облачным развертыванием,
— методы, которые используют злоумышленники,
— эмпирически проверенные защитные меры, которые должны принять организации,
и показывают, как улучшить обнаружение вредоносной активности.
#career #infosec
Мини-обзор самых востребованных профессий в области кибербезопасности.
https://proglib.io/w/6e724886
Мини-обзор самых востребованных профессий в области кибербезопасности.
https://proglib.io/w/6e724886
Хабр
Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS
В 2019 году Всемирный экономический форум (ВЭФ) назвал кибератаки четвёртой по значимости глобальной проблемой для человечества. Спрос в мире на специалистов в области кибербезопасности растёт, так...
#cve #writeup #pentest
Полный разбор CVE-2022-2185, RCE-уязвимости в Gitlab Project Import
Как всегда, интересны подход, размышления и практические кейсы, которые используются для воспроизведения уязвимости.
https://proglib.io/w/51e23541
Полный разбор CVE-2022-2185, RCE-уязвимости в Gitlab Project Import
Как всегда, интересны подход, размышления и практические кейсы, которые используются для воспроизведения уязвимости.
https://proglib.io/w/51e23541
STAR Labs
Gitlab Project Import RCE Analysis (CVE-2022-2185)
At the beginning of this month, GitLab released a security patch for versions 14->15. Interestingly in the advisory, there was a mention of a post-auth RCE bug with CVSS 9.9.
The bug exists in GitLab’s Project Imports feature, which was found by @vakzz. Incidentally…
The bug exists in GitLab’s Project Imports feature, which was found by @vakzz. Incidentally…
#interview
Linux — один из основных инструментов каждого безопасника. Если вы хотите узнать основные аспекты этой ОС или подготовиться к собеседованию, добро пожаловать под кат.
https://proglib.io/w/0daa1de4
Linux — один из основных инструментов каждого безопасника. Если вы хотите узнать основные аспекты этой ОС или подготовиться к собеседованию, добро пожаловать под кат.
https://proglib.io/w/0daa1de4
Software Testing Help
Top 35 LINUX Interview Questions and Answers
In this article, we will see multiple LINUX Interview Questions and answers which will not only help to prepare for interviews but also help in learning all about Linux.
#pentest #bugbounty
Коллекция ресурсов для погружения в безопасность веб-сокетов.
https://proglib.io/w/9b5c77ff
Коллекция ресурсов для погружения в безопасность веб-сокетов.
https://proglib.io/w/9b5c77ff
GitHub
GitHub - PalindromeLabs/awesome-websocket-security: Awesome information for WebSockets security research
Awesome information for WebSockets security research - PalindromeLabs/awesome-websocket-security
#OSINT #forensic
Команда визуальных расследований газеты New York Times делится опытом своего ремесла с использованием видео и без:
— Определение и методы визуальных расследований
— 3D-реконструкция убийства Бреонны Тейлор
— Отслеживание контрабанды нефтепродуктов
— Реконструкция штурма Капитолия США и многое другое
https://proglib.io/w/8c82f2fe
Команда визуальных расследований газеты New York Times делится опытом своего ремесла с использованием видео и без:
— Определение и методы визуальных расследований
— 3D-реконструкция убийства Бреонны Тейлор
— Отслеживание контрабанды нефтепродуктов
— Реконструкция штурма Капитолия США и многое другое
https://proglib.io/w/8c82f2fe
YouTube
Визуальные расследования с использованием видео и без – #GIJC21
Когда-то считавшийся просто формой фактчекинга, криминалистический анализ изображений быстро превратился в важнейший метод журналистского расследования.
Всё благодаря новым технологиям, инновационным навыкам и повсеместному распространению визуального контента…
Всё благодаря новым технологиям, инновационным навыкам и повсеместному распространению визуального контента…
#guide #bugbounty #pentest
Arbitrary Object Instantiations в PHP: интересный кейс эксплуатации из практики команды PT SWARM.
https://proglib.io/w/81b5f753
Arbitrary Object Instantiations в PHP: интересный кейс эксплуатации из практики команды PT SWARM.
https://proglib.io/w/81b5f753
PT SWARM
Exploiting Arbitrary Object Instantiations in PHP without Custom Classes
We discovered an application with "new $a($b)" and no user-defined classes. We turned it to RCE.
#mindmap #OSINT
Кликабельно-древовидная карта с полезными инструментами для OSINT.
https://proglib.io/w/37d6bb68
Кликабельно-древовидная карта с полезными инструментами для OSINT.
https://proglib.io/w/37d6bb68
#news
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Албания ушла в оффлайн после кибератаки, срываем маски: новая кэш-атака. Security-новости от главреда Securitylab.ru
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Албания ушла в оффлайн после кибератаки, срываем маски: новая кэш-атака. Security-новости от главреда Securitylab.ru
Хабр
Security Week 2230: утечка данных через кабель SATA
Исследователь Мордехай Гури из израильского университета Бен-Гуриона опубликовал на прошлой неделе новую работу , расширяющую достаточно специфическую область знаний в сфере безопасности: методы кражи...
#pentest #redteam
Пентест внешнего периметра организации и проверка поведения сотрудников в онлайне/офлайне: история из опыта компании Бастион.
https://proglib.io/w/53a3c176
Пентест внешнего периметра организации и проверка поведения сотрудников в онлайне/офлайне: история из опыта компании Бастион.
https://proglib.io/w/53a3c176
Хабр
Бесконтрольный доступ и рассеянность: итоги одного пентеста
В этом проекте нет сложных или изящных атак — напротив, многие из них просты, даже примитивны. Эта история про то, как неплохо защищенная в техническом плане компания может пострадать из-за...
#writeup #bugbounty #pentest
Разбор простой, но не совсем очевидной SQL-инъекции в авторизационном токене.
https://proglib.io/w/3e0a875b
Разбор простой, но не совсем очевидной SQL-инъекции в авторизационном токене.
https://proglib.io/w/3e0a875b
Techncyber
Exploiting SQL Injection at Authorization token
Learn about a unique SQL Injection Finding with Authorization Headers Token
#security #appsec
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
Хабр
Перевод стандарта ASVS 4.0. Часть 1
Это первая статья из серии переводов стандарта Application Security Verification Standard 4.0, который был разработан OWASP в 2019 году. Стандарт состоит из 14 групп требований для программного...
#pentest #redteam
Разбор рабочего кейса использования XSS и iframe для угона аутентификационных данных пользователя.
https://proglib.io/w/6f8c155d
Разбор рабочего кейса использования XSS и iframe для угона аутентификационных данных пользователя.
https://proglib.io/w/6f8c155d
TrustedSec
Scraping Login Credentials With XSS
#pentest #bugbounty #CVE
📺 Vulnmachines — YouTube-канал одноименной платформы для обучения кибербезопасности.
Вас ждут разборы уязвимостей, обучение пентесту, веб-безопасности и многому другому.
https://proglib.io/w/720dd7bf
📺 Vulnmachines — YouTube-канал одноименной платформы для обучения кибербезопасности.
Вас ждут разборы уязвимостей, обучение пентесту, веб-безопасности и многому другому.
https://proglib.io/w/720dd7bf
#writeup #pentest #bugbounty
Алексей Соловьев из PT SWARM рассказывает, как добиться удаленного выполнения кода через XSS на примерах Evolution CMS, FUDForum и GitBucket.
https://proglib.io/w/aea44254
Алексей Соловьев из PT SWARM рассказывает, как добиться удаленного выполнения кода через XSS на примерах Evolution CMS, FUDForum и GitBucket.
https://proglib.io/w/aea44254
PT SWARM
Researching Open Source apps for XSS to RCE flaws
Cross-Site Scripting (XSS) is one of the most commonly encountered attacks in web applications. If an attacker can inject a JavaScript code into the application output, this can lead not only to cookie theft, redirection or phishing, but also in some cases…
#appsec #practice #security
Создание AppSec-пайплайна для «непрерывной видимости»
Когда в больших командах безопасники и разработчики масштабируются непропорционально, обычное предрелизное тестирование безопасности может быть неэффективным.
В статье описан подход команды Chargebee к созданию AppSec-пайплайна для непрерывного сканирования безопасности с использованием open source инструментов, что позволило обеспечить централизованную видимость общего состояния безопасности различных компонентов, связанных с продакшеном.
https://proglib.io/w/0129223a
Создание AppSec-пайплайна для «непрерывной видимости»
Когда в больших командах безопасники и разработчики масштабируются непропорционально, обычное предрелизное тестирование безопасности может быть неэффективным.
В статье описан подход команды Chargebee к созданию AppSec-пайплайна для непрерывного сканирования безопасности с использованием open source инструментов, что позволило обеспечить централизованную видимость общего состояния безопасности различных компонентов, связанных с продакшеном.
https://proglib.io/w/0129223a
Medium
Building AppSec Pipeline for Continuous Visibility
Most SaaS organizations need high-velocity engineering with multiple releases in a day where security & engineering teams are…
#pentest #bugbounty
🔧 SwiftnessX — кроссплатформенный инструмент для пентестеров, который упрощает процесс ведения заметок и отслеживания целей.
https://proglib.io/w/2e59eedf
🔧 SwiftnessX — кроссплатформенный инструмент для пентестеров, который упрощает процесс ведения заметок и отслеживания целей.
https://proglib.io/w/2e59eedf
GitHub
GitHub - ehrishirajsharma/SwiftnessX: A cross-platform note-taking & target-tracking app for penetration testers.
A cross-platform note-taking & target-tracking app for penetration testers. - GitHub - ehrishirajsharma/SwiftnessX: A cross-platform note-taking & target-tracking app for penetration testers.
#writeup #pentest #bugbounty #redteam
0xdf, архитектор в HackTheBox и CTF-наркоман, публикует актуальные разборы лабораторий в своем блоге. Must have для начинающих и профи.
https://proglib.io/w/f2be74fc
0xdf, архитектор в HackTheBox и CTF-наркоман, публикует актуальные разборы лабораторий в своем блоге. Must have для начинающих и профи.
https://proglib.io/w/f2be74fc
#bugbounty #pentest #mobile
Цикл статей про аудит безопасности iOS-приложений:
🔗 Готовим iOS-устройство к пентесту
🔗 Анализ iOS-приложений
Цикл статей про аудит безопасности iOS-приложений:
🔗 Готовим iOS-устройство к пентесту
🔗 Анализ iOS-приложений
Хабр
Готовим iOS-устройство к пентесту
К Digital Security часто обращаются за аудитом iOS-приложений, поэтому мы решили сделать цикл статей про наш подход в этой области. И в первой из них расскажем о выборе и подготовке устройства для...
#OSINT #tools
Обзор ресурсов и инструментов для проведения и повышения эффективности OSINT.
https://proglib.io/w/c0b6c1d8
Обзор ресурсов и инструментов для проведения и повышения эффективности OSINT.
https://proglib.io/w/c0b6c1d8
C:\Users\Escafl0wn3
Useful sites and tools for an Investigation
OSINT Lets say that we are investigating a company as a part of an assessment, during this recon process we must use anything available on internet (Surface Web, DeepWeb or DarkWeb). This includes …