#practice #pentest #bugbounty #hacking #career
Как стать этичным хакером в 2022 году: смотреть & читать 🔥
Как стать этичным хакером в 2022 году: смотреть & читать 🔥
YouTube
How to Be an Ethical Hacker in 2022
Sponsor: https://go.intigriti.com/thecybermentor
Blog Post: https://tcm-sec.com/so-you-want-to-be-a-hacker-2022-edition/
Academy: https://academy.tcm-sec.com
Timestamps:
0:00 - Introduction
0:53 - Intigriti Sponsorship
1:55 - Building a Foundation
2:10 …
Blog Post: https://tcm-sec.com/so-you-want-to-be-a-hacker-2022-edition/
Academy: https://academy.tcm-sec.com
Timestamps:
0:00 - Introduction
0:53 - Intigriti Sponsorship
1:55 - Building a Foundation
2:10 …
#learning #hacking #pentest #bugbounty #reverse
Обзор лучших платформ для обучения этичному хакингу: https://proglib.io/w/ae170579
Обзор лучших платформ для обучения этичному хакингу: https://proglib.io/w/ae170579
Intigriti
Hacking Platforms
Global crowdsourced security provider, trusted by the world's largest organizations. A community of ethical hackers who think like attackers. Agile security testing, powered by the crowd.
#mindmap #hacking #bugbounty #pentest
Репозиторий, который позволит ежедневно прокачивать разнообразные хакерские скиллы, чтобы через год стать профи.
https://proglib.io/w/421c5898
Репозиторий, который позволит ежедневно прокачивать разнообразные хакерские скиллы, чтобы через год стать профи.
https://proglib.io/w/421c5898
GitHub
GitHub - harsh-bothra/learn365: This repository is about @harshbothra_'s 365 days of Learning Tweets & Mindmaps collection.
This repository is about @harshbothra_'s 365 days of Learning Tweets & Mindmaps collection. - harsh-bothra/learn365
#hacking #pentest
Взлом тюнера Harley
Перед вами увлекательная серия статей, которая включает взлом прошивки, перепроектирование протокола связи по USB-каналу, обход существующей системы лицензирования и много интересных технических деталей.
— Часть 1
— Часть 2
— Часть 3
Взлом тюнера Harley
Перед вами увлекательная серия статей, которая включает взлом прошивки, перепроектирование протокола связи по USB-каналу, обход существующей системы лицензирования и много интересных технических деталей.
— Часть 1
— Часть 2
— Часть 3
therealunicornsecurity.github.io
Hacking a Harley's Tuner
Finding my ways to the firmware of a famous Harley tuner
#cybersecurity #career
Упрощенная дорожная карта для безопасника:
🔗 Читать в Твиттере
🔗 Читать в Thread Reader App, если Твиттер не открывается
Упрощенная дорожная карта для безопасника:
🔗 Читать в Твиттере
🔗 Читать в Thread Reader App, если Твиттер не открывается
#hacking #pentest #redteam #bugbounty
Наиболее интересные доклады с DEFCON 30 August 2022, опубликованные на сегодняшний день:
— DEF CON 30 – Sam Quinn, Steve Povolny – Perimeter Breached Hacking an Access Control System
— DEF CON 30 – Silk – How to Lock Pick
— DEF CON 30 BiC Village – Ochuan Marshall – The Last Log4J Talk You Ever Need
— DEF CON 30 – James Kettle – Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
— DEF CON 30 – Daniel Jensen – Hunting Bugs in the Tropics
— DEF CON 30 – Orange Tsai – Let’s Dance in the Cache – Destabilizing Hash Table on Microsoft IIS
— DEF CON 30 – Michael Bargury – Low Code High Risk – Enterprise Donation via Low Code Abuse
— DEF CON 30 – Jeffrey Hofmann – PreAuth RCE Chains on an MDM – KACE SMA
— DC30 DCGVR Talks – Careful Who You Colab With
— DEF CON 30 – Samuel Erb, Justin Gardner – Crossing the KASM – a Webapp Pentest Story
— DEF CON 30 – Thomas Roth , Solana – JIT – Lessons from fuzzing a smart contract compiler
— DEF CON 30 – Richard Thieme – UFOs, Alien Life, and the Least Untruthful Things I Can Say
— DEF CON 30 – stacksmashing – The Hitchhacker’s Guide to iPhone Lightning and JTAG Hacking
— DEF CON 30 Retail Hacking Village – Spicy Wasabi – Rock The Cash Box
Наиболее интересные доклады с DEFCON 30 August 2022, опубликованные на сегодняшний день:
— DEF CON 30 – Sam Quinn, Steve Povolny – Perimeter Breached Hacking an Access Control System
— DEF CON 30 – Silk – How to Lock Pick
— DEF CON 30 BiC Village – Ochuan Marshall – The Last Log4J Talk You Ever Need
— DEF CON 30 – James Kettle – Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
— DEF CON 30 – Daniel Jensen – Hunting Bugs in the Tropics
— DEF CON 30 – Orange Tsai – Let’s Dance in the Cache – Destabilizing Hash Table on Microsoft IIS
— DEF CON 30 – Michael Bargury – Low Code High Risk – Enterprise Donation via Low Code Abuse
— DEF CON 30 – Jeffrey Hofmann – PreAuth RCE Chains on an MDM – KACE SMA
— DC30 DCGVR Talks – Careful Who You Colab With
— DEF CON 30 – Samuel Erb, Justin Gardner – Crossing the KASM – a Webapp Pentest Story
— DEF CON 30 – Thomas Roth , Solana – JIT – Lessons from fuzzing a smart contract compiler
— DEF CON 30 – Richard Thieme – UFOs, Alien Life, and the Least Untruthful Things I Can Say
— DEF CON 30 – stacksmashing – The Hitchhacker’s Guide to iPhone Lightning and JTAG Hacking
— DEF CON 30 Retail Hacking Village – Spicy Wasabi – Rock The Cash Box
#hacking
Наиболее заметные атаки, взломы, утечки, фейлы и другие события 2022-го по версии журнала «Хакер».
Читать
Наиболее заметные атаки, взломы, утечки, фейлы и другие события 2022-го по версии журнала «Хакер».
Читать
Хабр
«Хакер»: самые громкие, яркие и важные события 2022 года в мире безопасности
До нового года осталась всего ничего, а значит, пора подвести итоги и вспомнить самые интересные, важные и странные события последних двенадцати месяцев, о которых мы писали на Xakep.ru . Мы выбрали...
Please open Telegram to view this post
VIEW IN TELEGRAM
#hacking #writeup
💰 Взлом Binance Smart Chain Token Bridge
Андрей Бачурин из PT SWARM занимается исследованием безопасности блокчейна — пожалуй, одной из самых сложных тем в ИБ. В статье он рассказывает технические аспекты и сценарий атаки на BSC Token Hub bridge, который принадлежит криптовалютной бирже Binance.
Это был один из крупнейших взломов криптовалюты. BSC обеспечивает взаимодействие между блокчейном Binance Beacon Chain, используемым Binance для децентрализованного управления, и Binance Smart Chain, блокчейном, совместимым с EVM, который используется для создания различных децентрализованных приложений. Кстати, хакеры тогда вывели 586 миллионов долларов.
Читать
Андрей Бачурин из PT SWARM занимается исследованием безопасности блокчейна — пожалуй, одной из самых сложных тем в ИБ. В статье он рассказывает технические аспекты и сценарий атаки на BSC Token Hub bridge, который принадлежит криптовалютной бирже Binance.
Это был один из крупнейших взломов криптовалюты. BSC обеспечивает взаимодействие между блокчейном Binance Beacon Chain, используемым Binance для децентрализованного управления, и Binance Smart Chain, блокчейном, совместимым с EVM, который используется для создания различных децентрализованных приложений. Кстати, хакеры тогда вывели 586 миллионов долларов.
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
positive-research-2023-rus.pdf
8.7 MB
Positive Research 2023: сборник исследований по практической безопасности
▫️Топ–10 самых громких атак 2022 года
▫️Государственные организации — цель No 1
▫️Недопустимые события для госучреждений: реальные примеры
▫️Атаки на пользователей: масштабные утечки данных
▫️Кто и как атакует российские организации
▫️Уязвимости ради безопасности. Результативная стратегия управления уязвимостями
#research #hacking
▫️Топ–10 самых громких атак 2022 года
▫️Государственные организации — цель No 1
▫️Недопустимые события для госучреждений: реальные примеры
▫️Атаки на пользователей: масштабные утечки данных
▫️Кто и как атакует российские организации
▫️Уязвимости ради безопасности. Результативная стратегия управления уязвимостями
#research #hacking
Внедрение в процесс sshd и получение паролей пользователей с SSH-сервера в открытом виде: пошаговая реализация на заметку этичному хакеру.
Читать
#hacking #redteam
Читать
#hacking #redteam
jm33_ng
SSHD Injection and Password Harvesting
TL;DR The source code of this idea is available on GitHub And the weaponized version is available in emp3r0r Use echo 'print __libc_dlopen_mode("/path/to/library.so", 2)' | gdb -p <PID> for process injection Write a shared library to inject into sshd process…
Хотите немного вспомнить о человеке, на основе которого во многом и сформировался классический образ хакера 90-х годов?
☕️ В блоге RUVDS вышла целая серия статей, которая точно стоит вашего внимания:
◾ Часть 1: бурная юность тёмного гения
◾ Часть 2: Кондор учится летать
◾ Часть 3: «Фортуна повернулась ко мне задом»
#hacking
◾ Часть 1: бурная юность тёмного гения
◾ Часть 2: Кондор учится летать
◾ Часть 3: «Фортуна повернулась ко мне задом»
#hacking
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Памяти Кевина Митника — хакера, ломавшего ФБР, АНБ и Кремниевую долину. Часть 1: бурная юность тёмного гения
16 июля 2023 года в возрасте 59 лет наш мир покинул Кевин Митник — один из самых знаменитых и архетипичных хакеров в истории. В середине 90-х он считался самым разыскиваемым хакером в мире, и было за...
🎅Advent of Cyber — бесплатный челлендж для этичного хакера от TryHackMe. Каждый день в декабре будут публиковаться задания на различные интересные темы.
John Hammond уже показал первое задание, изучил на практике AI prompt injection и затронул темы других заданий.
#hacking #pentest #ctf
John Hammond уже показал первое задание, изучил на практике AI prompt injection и затронул темы других заданий.
#hacking #pentest #ctf
🔥 Открыта традиционная номинация десяти топовых техник веб-хакинга 2023 года
Многие из исследований содержат инновационные идеи, ожидающие, пока тот самый белый хакер адаптирует их и объединит в новые открытия в будущем.
📌 Вот как выглядит список на текущий момент:
• Ransacking your password reset tokens
• mTLS: When certificate authentication is done wrong
• Smashing the state machine: the true potential of web race conditions
• Bypass firewalls with of-CORs and typo-squatting
• RCE via LDAP truncation on hg.mozilla.org
• Cookie Bugs - Smuggling & Injection
• OAuth 2.0 Redirect URI Validation Falls Short, Literally
• Prototype Pollution in Python - Abdulrah33m's Blog
• Pretalx Vulnerabilities: How to get accepted at every conference
• From Akamai to F5 to NTLM... with love.
• can I speak to your manager? hacking root EPP servers to take control of zones
• Blind CSS Exfiltration: exfiltrate unknown web pages
• Compromising F5 BIGIP with Request Smuggling
• Server-side prototype pollution: Black-box detection without the DoS
• Tricks for Reliable Split-Second DNS Rebinding in Chrome and Safari
• HTML Over the Wire
• SMTP Smuggling - Spoofing E-Mails Worldwide
• DOM-based race condition: racing in the browser for fun
• Metamask Snaps: Playing in the Sand
• You Are Not Where You Think You Are, Opera Browsers Address Bar Spoofing Vulnerabilities
• CVE-2022-4908: SOP bypass in Chrome using Navigation API
• Code Vulnerabilities Put Proton Mails at Risk
#hacking #pentest #bugbounty
Многие из исследований содержат инновационные идеи, ожидающие, пока тот самый белый хакер адаптирует их и объединит в новые открытия в будущем.
📌 Вот как выглядит список на текущий момент:
• Ransacking your password reset tokens
• mTLS: When certificate authentication is done wrong
• Smashing the state machine: the true potential of web race conditions
• Bypass firewalls with of-CORs and typo-squatting
• RCE via LDAP truncation on hg.mozilla.org
• Cookie Bugs - Smuggling & Injection
• OAuth 2.0 Redirect URI Validation Falls Short, Literally
• Prototype Pollution in Python - Abdulrah33m's Blog
• Pretalx Vulnerabilities: How to get accepted at every conference
• From Akamai to F5 to NTLM... with love.
• can I speak to your manager? hacking root EPP servers to take control of zones
• Blind CSS Exfiltration: exfiltrate unknown web pages
• Compromising F5 BIGIP with Request Smuggling
• Server-side prototype pollution: Black-box detection without the DoS
• Tricks for Reliable Split-Second DNS Rebinding in Chrome and Safari
• HTML Over the Wire
• SMTP Smuggling - Spoofing E-Mails Worldwide
• DOM-based race condition: racing in the browser for fun
• Metamask Snaps: Playing in the Sand
• You Are Not Where You Think You Are, Opera Browsers Address Bar Spoofing Vulnerabilities
• CVE-2022-4908: SOP bypass in Chrome using Navigation API
• Code Vulnerabilities Put Proton Mails at Risk
#hacking #pentest #bugbounty
1️⃣ Истинный потенциал web race conditions
2️⃣ Эксплуатация hardened .NET deserialization
3️⃣ SMTP-контрабанда: подмена электронных писем по всему миру
4️⃣ Цепочки PHP-фильтров: чтение файла из error-based oracle
5️⃣ Использование несогласованности HTTP-парсеров
6️⃣ Эксплуатация уязвимостей HTTP request splitting
7️⃣ $150 000 за взлом Microsoft Teams на Pwn2Own
8️⃣ От Akamai до F5 и NTLM... с любовью
9️⃣ Cookie crumbles: нарушение и фиксация целостности веб-сессии
🔟 Взлом корневых серверов EPP для получения контроля над зонами
#pentest #bugbounty #hacking
Please open Telegram to view this post
VIEW IN TELEGRAM