#writeup #ctf #pentest #bugbounty
Разбор ежемесячного XSS-челленджа от Intigriti, в котором были объеденены XSS и SQL-инъекция.
https://proglib.io/w/62e09246
Разбор ежемесячного XSS-челленджа от Intigriti, в котором были объеденены XSS и SQL-инъекция.
https://proglib.io/w/62e09246
realansgar.dev
Intigriti XSS Challenge July 2022 — SQL Injection leading to XSS
finding 🏳️🌈 flags 🕵️♂️
#tools #news #cloud #pentest
Представлен новый релиз популярного инструмента BloodHound, который включил:
— 12 новых и/или улучшенных техник, большинство из которых для Azure
— Полностью переписанный AzureHound на Go и многое другое
https://proglib.io/w/8f132653
Представлен новый релиз популярного инструмента BloodHound, который включил:
— 12 новых и/или улучшенных техник, большинство из которых для Azure
— Полностью переписанный AzureHound на Go и многое другое
https://proglib.io/w/8f132653
Medium
Introducing BloodHound 4.2 — The Azure Refactor
The BloodHound Enterprise team is proud to announce the release of BloodHound 4.2 — The Azure Refactor.
#career #pentest
Погружение в сертификацию Offensive Security Experienced Penetration Tester от Offensive Security.
https://proglib.io/w/36af2797
Погружение в сертификацию Offensive Security Experienced Penetration Tester от Offensive Security.
https://proglib.io/w/36af2797
Хабр
Сертификация OSEP, и с чем ее едят
Привет, Хабр! Относительно недавно (в масштабах вечности) я сдал экзамен Offensive Security Experienced Penetration Tester в рамках курса PEN-300 от Offensive Security. В этой публикации я постараюсь...
#bugbounty #tips
Прежде чем начать разведку в рамках публичной программе Bug Bounty, обратите внимание на этот репозиторий. Сила сообщества работает и упрощает нам жизнь.
https://proglib.io/w/3f13e7e1
Прежде чем начать разведку в рамках публичной программе Bug Bounty, обратите внимание на этот репозиторий. Сила сообщества работает и упрощает нам жизнь.
https://proglib.io/w/3f13e7e1
GitHub
GitHub - trickest/inventory: Asset inventory of over 800 public bug bounty programs.
Asset inventory of over 800 public bug bounty programs. - GitHub - trickest/inventory: Asset inventory of over 800 public bug bounty programs.
#bugbounty #pentest #writeup
Пошаговая методология, советы и рабочие сценарии, которые помогут при поиске уязвимостей, связанных с веб-кэшем.
https://proglib.io/w/6e752b14
Пошаговая методология, советы и рабочие сценарии, которые помогут при поиске уязвимостей, связанных с веб-кэшем.
https://proglib.io/w/6e752b14
Medium
How I Test For Web Cache Vulnerabilities + Tips And Tricks
@bxmbn
#pentest #redteam
Тут вот лид направления инфраструктурных пентестов в Angara Security подробно описал новый взгляд на злоупотребление ограниченным делегированием Kerberos на основе ресурсов.
Читать
Тут вот лид направления инфраструктурных пентестов в Angara Security подробно описал новый взгляд на злоупотребление ограниченным делегированием Kerberos на основе ресурсов.
Читать
Хабр
Делегируй меня полностью, или Новый взгляд на RBCD-атаки в AD
«Злоупотребление ограниченным делегированием Kerberos на основе ресурсов» — как много в этом звуке! Точнее уже не просто звуке и даже не словосочетании, а целом классе наступательных техник в доменной...
#tools #security
🔧 GitHub Workflow Auditor — инструмент для проверки GitHub Action Workflow на наличие небезопасных пользовательских данных, вредоносных коммитов и секретов.
Репозиторий
🔧 GitHub Workflow Auditor — инструмент для проверки GitHub Action Workflow на наличие небезопасных пользовательских данных, вредоносных коммитов и секретов.
Репозиторий
GitHub
GitHub - TinderSec/gh-workflow-auditor: Script to audit GitHub Action Workflow files for potential vulnerabilities.
Script to audit GitHub Action Workflow files for potential vulnerabilities. - GitHub - TinderSec/gh-workflow-auditor: Script to audit GitHub Action Workflow files for potential vulnerabilities.
#tools #recon
Многие используют инструмент FFuF для веб-фаззинга, но не все делают это эффективно. Ниже вы увидите 9 советов, которые восполнят этот пробел:
🔗 Читать в Твиттере
🔗 Читать в Thread Reader App, если Твиттер не открывается
Многие используют инструмент FFuF для веб-фаззинга, но не все делают это эффективно. Ниже вы увидите 9 советов, которые восполнят этот пробел:
🔗 Читать в Твиттере
🔗 Читать в Thread Reader App, если Твиттер не открывается
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#tools #pentest #bugbounty
Подробный обзор работы инструмента веб-фаззинга FFuF.
https://proglib.io/w/51c449bb
Подробный обзор работы инструмента веб-фаззинга FFuF.
https://proglib.io/w/51c449bb
#devsecops #appsec #career
AppSec vs. DevSecOps
Две похожие сферы деятельности, однако они преследуют разные подходы к обеспечению безопасности.
Читать
AppSec vs. DevSecOps
Две похожие сферы деятельности, однако они преследуют разные подходы к обеспечению безопасности.
Читать
www.cobalt.io
AppSec vs. DevSecOps | Cobalt
Explore the differences between AppSec and DevSecOps including the unique techniques and benefits each methodology offers.
📍 Зачем математика нужна в Data Science в 2022?
Библиотека программиста продолжает серию вебинаров по темам, интересным для наших подписчиков. На предстоящем вебинаре аналитик данных Артур Сапрыкин поведает слушателям об актуальных требованиях к дата-сайентистам, математике, необходимой для обучения предсказательных моделей и том, как соответствующие навыки используются на практике для обработки крупных массивов информации.
🧑💻 Для кого: начинающие дата-сайентисты и абитуриенты ШАД
📅 Когда: 8 августа в 19:00
🖇 Где: https://proglib.io/w/fb2c6ce4
#proglib_academy #профессии #datascientist
Библиотека программиста продолжает серию вебинаров по темам, интересным для наших подписчиков. На предстоящем вебинаре аналитик данных Артур Сапрыкин поведает слушателям об актуальных требованиях к дата-сайентистам, математике, необходимой для обучения предсказательных моделей и том, как соответствующие навыки используются на практике для обработки крупных массивов информации.
🧑💻 Для кого: начинающие дата-сайентисты и абитуриенты ШАД
📅 Когда: 8 августа в 19:00
🖇 Где: https://proglib.io/w/fb2c6ce4
#proglib_academy #профессии #datascientist
#writeup #bugbounty #pentest
Видеоразбор уязвимости в Bug Bounty программе Facebook, которая привела к захвату учетной записи при входе в систему с использованием Gmail.
Профит — 45000💲.
Смотреть
Видеоразбор уязвимости в Bug Bounty программе Facebook, которая привела к захвату учетной записи при входе в систему с использованием Gmail.
Профит — 45000💲.
Смотреть
YouTube
2022-style OAuth account takeover on Facebook - $45,000 bug bounty
Check out Intigriti: https://www.intigriti.com/
📧 Subscribe to BBRE Premium: https://bbre.dev/premium
✉️ Sign up for the mailing list: https://bbre.dev/nl
📣 Follow me on Twitter: https://bbre.dev/tw
This video is an explanation of a bug bounty report submitted…
📧 Subscribe to BBRE Premium: https://bbre.dev/premium
✉️ Sign up for the mailing list: https://bbre.dev/nl
📣 Follow me on Twitter: https://bbre.dev/tw
This video is an explanation of a bug bounty report submitted…
#bugbounty #pentest #tips
Многие знают, что в Твиттере сообщество активно обменивается различными полезными советами относительно нашей деятельности. Ловите ресурс, где ссылки на твиты классифицированы по типам уязвимостей.
Читать
Многие знают, что в Твиттере сообщество активно обменивается различными полезными советами относительно нашей деятельности. Ловите ресурс, где ссылки на твиты классифицированы по типам уязвимостей.
Читать
gowsundar.gitbook.io
Introduction | Book of BugBounty Tips
Welcome to Book of Bug Bounty Tips
#bugbounty #pentest
Вышла вторая часть в серии про фундаментальные основы взлома веб-приложений 👉 https://t.me/hackproglib/1237
Вышла вторая часть в серии про фундаментальные основы взлома веб-приложений 👉 https://t.me/hackproglib/1237
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#bugbounty #pentest #tools
Основы взлома веб-приложений в 2022 году:
🔗 Часть 1
🔗 Часть 2
Основы взлома веб-приложений в 2022 году:
🔗 Часть 1
🔗 Часть 2
#recon #tools #tips
6 простых советов по использованию httpx, которые повысят эффективность разведки:
🔗 Читать в Твиттере
🔗 Читать в Thread Reader App, если Твиттер не открывается
6 простых советов по использованию httpx, которые повысят эффективность разведки:
🔗 Читать в Твиттере
🔗 Читать в Thread Reader App, если Твиттер не открывается
Threadreaderapp
Read and Share Twitter Threads easily!
Thread Reader helps you read and share the best of Twitter Threads
#cloud #bestpractices #security
Рекомендации по обеспечению безопасности кластера Kubernetes и деплоя в Kubernetes:
🔗 Часть 1
🔗 Часть 2
Рекомендации по обеспечению безопасности кластера Kubernetes и деплоя в Kubernetes:
🔗 Часть 1
🔗 Часть 2
ARMO
Kubernetes Security Best Practices + Checklist
Enhance your Kubernetes security with our definitive guide for security professionals. Discover best practices and to protect your infrastructure.
#redteam #practice
Разработка руткита для Linux: подборка статей для начинающих.
🔗 Введение в разработку модуля ядра Linux
🔗 Разработка простого руткита
🔗 Объемная серия статей из 9-ти частей
Разработка руткита для Linux: подборка статей для начинающих.
🔗 Введение в разработку модуля ядра Linux
🔗 Разработка простого руткита
🔗 Объемная серия статей из 9-ти частей
#writeup #pentest #bugbounty
Command Injection в Google Cloud Shell и 4 месяца на исправление. 🤦♂️
Подробнее
Command Injection в Google Cloud Shell и 4 месяца на исправление. 🤦♂️
Подробнее
bugra.ninja
Google Cloud Shell - Command Injection
Hi, I’m bugra, and here is a write-up about my Google Bug Bounty report.
On January 28, 2022, I was chatting in the TR Bug Hunters telegram group. One of the group members, Numan Türle, told us that we should give Google Cloud Shell a try to find some juicy…
On January 28, 2022, I was chatting in the TR Bug Hunters telegram group. One of the group members, Numan Türle, told us that we should give Google Cloud Shell a try to find some juicy…
#writeup #pentest #bugbounty #redteam
James Kettle и команда продолжают открывать новые горизонты в атаках с использованием HTTP Request Smuggling.
Читать
James Kettle и команда продолжают открывать новые горизонты в атаках с использованием HTTP Request Smuggling.
Читать
PortSwigger Research
Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
The recent rise of HTTP Request Smuggling has seen a flood of critical findings enabling near-complete compromise of numerous major websites. However, the threat has been confined to attacker-accessib
#writeup #CVE #pentest #redteam
Перевод исследования уязвимости Dirty Pipe, которая позволяет повышать привилегии на Linux-системе.
Читать
Перевод исследования уязвимости Dirty Pipe, которая позволяет повышать привилегии на Linux-системе.
Читать
Хабр
CVE 2022-0847: Исследование уязвимости Dirty Pipe
Предисловие: Данная статья является переводом англоязычного исследования, посвященного разбору уязвимости Dirty Pipe и непосредственно эксплоита, позволяющего ею воспользоваться для локального...