Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
@hackproglib
12.6K subscribers
1.81K photos
91 videos
166 files
2.86K links
Все самое полезное по инфобезу в одном канале.

Список наших каналов: https://t.me/proglibrary/9197

Для обратной связи: @proglibrary_feeedback_bot

По рекламе: @proglib_adv
РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf
Download Telegram
About
Blog
Apps
Platform
Join
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
12.6K subscribers
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#cve #writeup #pentest

Полный разбор CVE-2022-2185, RCE-уязвимости в Gitlab Project Import

Как всегда, интересны подход, размышления и практические кейсы, которые используются для воспроизведения уязвимости.

https://proglib.io/w/51e23541
STAR Labs
Gitlab Project Import RCE Analysis (CVE-2022-2185)
At the beginning of this month, GitLab released a security patch for versions 14->15. Interestingly in the advisory, there was a mention of a post-auth RCE bug with CVSS 9.9.
The bug exists in GitLab’s Project Imports feature, which was found by @vakzz. Incidentally…
1.7K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#interview

Linux — один из основных инструментов каждого безопасника. Если вы хотите узнать основные аспекты этой ОС или подготовиться к собеседованию, добро пожаловать под кат.

https://proglib.io/w/0daa1de4
Software Testing Help
Top 35 LINUX Interview Questions and Answers
In this article, we will see multiple LINUX Interview Questions and answers which will not only help to prepare for interviews but also help in learning all about Linux.
1.9K viewsedited  
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#pentest #bugbounty

Коллекция ресурсов для погружения в безопасность веб-сокетов.

https://proglib.io/w/9b5c77ff
GitHub
GitHub - PalindromeLabs/awesome-websocket-security: Awesome information for WebSockets security research
Awesome information for WebSockets security research - PalindromeLabs/awesome-websocket-security
1.7K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#OSINT #forensic

Команда визуальных расследований газеты New York Times делится опытом своего ремесла с использованием видео и без:

— Определение и методы визуальных расследований
— 3D-реконструкция убийства Бреонны Тейлор
— Отслеживание контрабанды нефтепродуктов
— Реконструкция штурма Капитолия США и многое другое

https://proglib.io/w/8c82f2fe
YouTube
Визуальные расследования с использованием видео и без – #GIJC21
Когда-то считавшийся просто формой фактчекинга, криминалистический анализ изображений быстро превратился в важнейший метод журналистского расследования.

Всё благодаря новым технологиям, инновационным навыкам и повсеместному распространению визуального контента…
1.6K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#guide #bugbounty #pentest

Arbitrary Object Instantiations в PHP: интересный кейс эксплуатации из практики команды PT SWARM.

https://proglib.io/w/81b5f753
PT SWARM
Exploiting Arbitrary Object Instantiations in PHP without Custom Classes
We discovered an application with "new $a($b)" and no user-defined classes. We turned it to RCE.
1.5K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#mindmap #OSINT

Кликабельно-древовидная карта с полезными инструментами для OSINT.

https://proglib.io/w/37d6bb68
1.7K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#news

Очередная подборка новостей для этичного хакера:

Security Week от «Лаборатории Касперского»
ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Албания ушла в оффлайн после кибератаки, срываем маски: новая кэш-атака. Security-новости от главреда Securitylab.ru
Хабр
Security Week 2230: утечка данных через кабель SATA
Исследователь Мордехай Гури из израильского университета Бен-Гуриона опубликовал на прошлой неделе новую работу , расширяющую достаточно специфическую область знаний в сфере безопасности: методы кражи...
1.6K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#pentest #redteam

Пентест внешнего периметра организации и проверка поведения сотрудников в онлайне/офлайне: история из опыта компании Бастион.

https://proglib.io/w/53a3c176
Хабр
Бесконтрольный доступ и рассеянность: итоги одного пентеста
В этом проекте нет сложных или изящных атак — напротив, многие из них просты, даже примитивны. Эта история про то, как неплохо защищенная в техническом плане компания может пострадать из-за...
1.7K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#writeup #bugbounty #pentest

Разбор простой, но не совсем очевидной SQL-инъекции в авторизационном токене.

https://proglib.io/w/3e0a875b
Techncyber
Exploiting SQL Injection at Authorization token
Learn about a unique SQL Injection Finding with Authorization Headers Token
1.7K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#security #appsec

Перевод стандарта OWASP Application Security Verification Standard 4.0:

🔗 Часть 1
🔗 Часть 2
Хабр
Перевод стандарта ASVS 4.0. Часть 1
Это первая статья из серии переводов стандарта Application Security Verification Standard 4.0, который был разработан OWASP в 2019 году. Стандарт состоит из 14 групп требований для программного...
1.8K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#pentest #redteam

Разбор рабочего кейса использования XSS и iframe для угона аутентификационных данных пользователя.

https://proglib.io/w/6f8c155d
TrustedSec
Scraping Login Credentials With XSS
1.6K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#pentest #bugbounty #CVE

📺 Vulnmachines — YouTube-канал одноименной платформы для обучения кибербезопасности.

Вас ждут разборы уязвимостей, обучение пентесту, веб-безопасности и многому другому.

https://proglib.io/w/720dd7bf
1.6K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#writeup #pentest #bugbounty

Алексей Соловьев из PT SWARM рассказывает, как добиться удаленного выполнения кода через XSS на примерах Evolution CMS, FUDForum и GitBucket.

https://proglib.io/w/aea44254
PT SWARM
Researching Open Source apps for XSS to RCE flaws
Cross-Site Scripting (XSS) is one of the most commonly encountered attacks in web applications. If an attacker can inject a JavaScript code into the application output, this can lead not only to cookie theft, redirection or phishing, but also in some cases…
1.5K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#appsec #practice #security

Создание AppSec-пайплайна для «непрерывной видимости»

Когда в больших командах безопасники и разработчики масштабируются непропорционально, обычное предрелизное тестирование безопасности может быть неэффективным.

В статье описан подход команды Chargebee к созданию AppSec-пайплайна для непрерывного сканирования безопасности с использованием open source инструментов, что позволило обеспечить централизованную видимость общего состояния безопасности различных компонентов, связанных с продакшеном.

https://proglib.io/w/0129223a
Medium
Building AppSec Pipeline for Continuous Visibility
Most SaaS organizations need high-velocity engineering with multiple releases in a day where security & engineering teams are…
1.6K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#pentest #bugbounty

🔧 SwiftnessX — кроссплатформенный инструмент для пентестеров, который упрощает процесс ведения заметок и отслеживания целей.

https://proglib.io/w/2e59eedf
GitHub
GitHub - ehrishirajsharma/SwiftnessX: A cross-platform note-taking & target-tracking app for penetration testers.
A cross-platform note-taking & target-tracking app for penetration testers. - GitHub - ehrishirajsharma/SwiftnessX: A cross-platform note-taking & target-tracking app for penetration testers.
1.5K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#writeup #pentest #bugbounty #redteam

0xdf, архитектор в HackTheBox и CTF-наркоман, публикует актуальные разборы лабораторий в своем блоге. Must have для начинающих и профи.

https://proglib.io/w/f2be74fc
1.6K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#bugbounty #pentest #mobile

Цикл статей про аудит безопасности iOS-приложений:

🔗 Готовим iOS-устройство к пентесту
🔗 Анализ iOS-приложений
Хабр
Готовим iOS-устройство к пентесту
К Digital Security часто обращаются за аудитом iOS-приложений, поэтому мы решили сделать цикл статей про наш подход в этой области. И в первой из них расскажем о выборе и подготовке устройства для...
3.7K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#OSINT #tools

Обзор ресурсов и инструментов для проведения и повышения эффективности OSINT.

https://proglib.io/w/c0b6c1d8
C:\Users\Escafl0wn3
Useful sites and tools for an Investigation
OSINT Lets say that we are investigating a company as a part of an assessment, during this recon process we must use anything available on internet (Surface Web, DeepWeb or DarkWeb). This includes …
1.6K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#writeup #pentest #CVE

Подробный разбор не самой свежей CVE-2011-2371 в Firefox, но отличное введение в эксплуатацию уязвимости переполнения кучи в браузерах.

https://proglib.io/w/a0aac182
VoidSec
Browser Exploitation: Firefox Integer Overflow - CVE-2011-2371 - VoidSec
Understanding the root cause and developing an exploiting for an Integer Overflow vulnerability in Firefox browser (CVE-2011-2371).
1.7K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#redteam #practice

Подделка стеков вызовов: разбор не самого нового, но эффективного способа обхода решений класса EDR.

https://proglib.io/w/f4b1965c
1.7K views
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#redteam #blueteam #cloud

Отличный обзор и быстрое объяснение всех тактик и техник матрицы MITRE ATT&CK для Kubernetes:

🔗 Часть 1
🔗 Часть 2
🔗 Часть 3
1.7K views