#writeup #bugbounty #pentest
Обход фильтрации HTML-тегов в GitHub
Пока GitHub выкатывает новые фичи, этичные хакеры уже их исследуют. Читайте отчет об уязвимости в библиотеке MathJax, которая позволяет отображать математические выражения в Markdown.
Профит — 10 000💲.
Читать
Обход фильтрации HTML-тегов в GitHub
Пока GitHub выкатывает новые фичи, этичные хакеры уже их исследуют. Читайте отчет об уязвимости в библиотеке MathJax, которая позволяет отображать математические выражения в Markdown.
Профит — 10 000💲.
Читать
Medium
How I Got $10,000 From GitHub For Bypassing Filtration oF HTML tags
Hey everyone👋, I hope you’re having an A+ week🚀! In today’s blog, I am going to tell you that, “How I Got $10,000 From GitHuB”.
Forwarded from Библиотека программиста | программирование, кодинг, разработка
➕ ➕ 7 способов сортировки массивов на примере С++ с иллюстрациями
В этой статье продемонстрируем на иллюстрациях, как работают алгоритмы сортировки: от простейшей пузырьковой до сложной древовидной кучи. Также определим сложность худших и лучших случаев, а код напишем на С++.
🔗 Основной сайт
🔗 Зеркало
Зачем учить алгоритмы сортировки, если есть уже готовые методы сортировки?
Чтобы знать плюсы и минусы каждого алгоритма, понимать, как действительно он работает (а не просто копипастить) и какой алгоритм выбрать для конкретной задачи. Плюс изучение алгоритмов развивает мышление и профессиональный кругозор.
Как мне оперативно научиться применять алгоритмы?
Мы запустили курс «Алгоритмы и структуры данных», на котором junior и middle+ программисты смогут потренировать навыки применения алгоритмов и сгенерировать идеальные решения сложных задач в сообществе других разработчиков.
➡️ Начать обучение
В этой статье продемонстрируем на иллюстрациях, как работают алгоритмы сортировки: от простейшей пузырьковой до сложной древовидной кучи. Также определим сложность худших и лучших случаев, а код напишем на С++.
🔗 Основной сайт
🔗 Зеркало
Зачем учить алгоритмы сортировки, если есть уже готовые методы сортировки?
Чтобы знать плюсы и минусы каждого алгоритма, понимать, как действительно он работает (а не просто копипастить) и какой алгоритм выбрать для конкретной задачи. Плюс изучение алгоритмов развивает мышление и профессиональный кругозор.
Как мне оперативно научиться применять алгоритмы?
Мы запустили курс «Алгоритмы и структуры данных», на котором junior и middle+ программисты смогут потренировать навыки применения алгоритмов и сгенерировать идеальные решения сложных задач в сообществе других разработчиков.
➡️ Начать обучение
👍4
#hacking #pentest #redteam #bugbounty
Наиболее интересные доклады с DEFCON 30 August 2022, опубликованные на сегодняшний день:
— DEF CON 30 – Sam Quinn, Steve Povolny – Perimeter Breached Hacking an Access Control System
— DEF CON 30 – Silk – How to Lock Pick
— DEF CON 30 BiC Village – Ochuan Marshall – The Last Log4J Talk You Ever Need
— DEF CON 30 – James Kettle – Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
— DEF CON 30 – Daniel Jensen – Hunting Bugs in the Tropics
— DEF CON 30 – Orange Tsai – Let’s Dance in the Cache – Destabilizing Hash Table on Microsoft IIS
— DEF CON 30 – Michael Bargury – Low Code High Risk – Enterprise Donation via Low Code Abuse
— DEF CON 30 – Jeffrey Hofmann – PreAuth RCE Chains on an MDM – KACE SMA
— DC30 DCGVR Talks – Careful Who You Colab With
— DEF CON 30 – Samuel Erb, Justin Gardner – Crossing the KASM – a Webapp Pentest Story
— DEF CON 30 – Thomas Roth , Solana – JIT – Lessons from fuzzing a smart contract compiler
— DEF CON 30 – Richard Thieme – UFOs, Alien Life, and the Least Untruthful Things I Can Say
— DEF CON 30 – stacksmashing – The Hitchhacker’s Guide to iPhone Lightning and JTAG Hacking
— DEF CON 30 Retail Hacking Village – Spicy Wasabi – Rock The Cash Box
Наиболее интересные доклады с DEFCON 30 August 2022, опубликованные на сегодняшний день:
— DEF CON 30 – Sam Quinn, Steve Povolny – Perimeter Breached Hacking an Access Control System
— DEF CON 30 – Silk – How to Lock Pick
— DEF CON 30 BiC Village – Ochuan Marshall – The Last Log4J Talk You Ever Need
— DEF CON 30 – James Kettle – Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling
— DEF CON 30 – Daniel Jensen – Hunting Bugs in the Tropics
— DEF CON 30 – Orange Tsai – Let’s Dance in the Cache – Destabilizing Hash Table on Microsoft IIS
— DEF CON 30 – Michael Bargury – Low Code High Risk – Enterprise Donation via Low Code Abuse
— DEF CON 30 – Jeffrey Hofmann – PreAuth RCE Chains on an MDM – KACE SMA
— DC30 DCGVR Talks – Careful Who You Colab With
— DEF CON 30 – Samuel Erb, Justin Gardner – Crossing the KASM – a Webapp Pentest Story
— DEF CON 30 – Thomas Roth , Solana – JIT – Lessons from fuzzing a smart contract compiler
— DEF CON 30 – Richard Thieme – UFOs, Alien Life, and the Least Untruthful Things I Can Say
— DEF CON 30 – stacksmashing – The Hitchhacker’s Guide to iPhone Lightning and JTAG Hacking
— DEF CON 30 Retail Hacking Village – Spicy Wasabi – Rock The Cash Box
🔥2
#pentest #bugbounty #practice
Arbitrary File Read в GitLab: пошаговая эксплуатация уязвимости с использованием symlinks.
Профит — 29 000💲.
Смотреть
Arbitrary File Read в GitLab: пошаговая эксплуатация уязвимости с использованием symlinks.
Профит — 29 000💲.
Смотреть
YouTube
$29,000 GitLab - Arbitrary File Read using symlinks
📧 Subscribe to BBRE Premium: https://bbre.dev/premium
✉️ Sign up for the mailing list: https://bbre.dev/nl
📣 Follow me on twitter: https://bbre.dev/tw
This video is about a vulnerability in GitLab that allowed reading any files from the server. The reporter…
✉️ Sign up for the mailing list: https://bbre.dev/nl
📣 Follow me on twitter: https://bbre.dev/tw
This video is about a vulnerability in GitLab that allowed reading any files from the server. The reporter…
👍2
#security #appsec
Чек-лист наиболее важных мер безопасности при разработке, тестировании и выпуске API.
https://github.com/shieldfy/API-Security-Checklist
Чек-лист наиболее важных мер безопасности при разработке, тестировании и выпуске API.
https://github.com/shieldfy/API-Security-Checklist
GitHub
GitHub - shieldfy/API-Security-Checklist: Checklist of the most important security countermeasures when designing, testing, and…
Checklist of the most important security countermeasures when designing, testing, and releasing your API - shieldfy/API-Security-Checklist
#news
Очередная подборка новостей для этичного хакера:
— «Хакер»: Самые важные события в мире инфосека за октябрь
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Миллиард для хакеров, GeForce RTX 4090 и пароли | Эда Ширана обокрали, независимый рунет. Security-новости от главреда секлаб
Очередная подборка новостей для этичного хакера:
— «Хакер»: Самые важные события в мире инфосека за октябрь
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Миллиард для хакеров, GeForce RTX 4090 и пароли | Эда Ширана обокрали, независимый рунет. Security-новости от главреда секлаб
Хабр
«Хакер»: Самые важные события в мире инфосека за октябрь
На Xakep.ru ежедневно публикуются самые актуальные новости из мира информационной безопасности, а в конце каждого месяца мы подводим итоги. В качестве эксперимента мы решили предложить этот материал и...
👍2
#mobile #pentest
Пентест Android: как хакнуть Android и найти уязвимости в приложении различными методами.
— Часть 1
— Часть 2
Пентест Android: как хакнуть Android и найти уязвимости в приложении различными методами.
— Часть 1
— Часть 2
Medium
Android Pentesting 101 — Part 1
Welcome to this new series of Android Pentesting. This series is about how you can hack into Android and find vulnerabilities in it using…
Forwarded from Библиотека Go-разработчика | Golang
Владимир Романько, Development Team Lead из «Лаборатории Касперского», рассказывает про фаззинг в Go в целом, и в частности про:
— историю фаззинга;
— где и как искать баги;
— как помочь фаззинг-тестам эффективнее находить их в самых неожиданных местах.
И показывает этот подход на примере обнаружения SQL-инъекций.
Читать
— историю фаззинга;
— где и как искать баги;
— как помочь фаззинг-тестам эффективнее находить их в самых неожиданных местах.
И показывает этот подход на примере обнаружения SQL-инъекций.
Читать
Хабр
Где искать баги фаззингом и откуда вообще появился этот метод
Подход фаззинг-тестирования родился еще в 80-х годах прошлого века. В некоторых языках он используется давно и плодотворно — соответственно, уже успел занять свою нишу. Сторонние фаззеры для Go были...
👍3🤔2
#bugbounty #pentest #research
Использование генераторов статических сайтов: когда статические на самом деле не статические
Глубокая исследовательская работа Сэма Карри в области безопасности приложений в пространстве Web3 побудила команду Assetnote погрузиться в изучение этих фреймворков и платформ. Читайте историю про безопасность некоторых конфигураций статических генераторов сайтов.
Читать
Использование генераторов статических сайтов: когда статические на самом деле не статические
Глубокая исследовательская работа Сэма Карри в области безопасности приложений в пространстве Web3 побудила команду Assetnote погрузиться в изучение этих фреймворков и платформ. Читайте историю про безопасность некоторых конфигураций статических генераторов сайтов.
Читать
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#bugbounty #pentest
Использование скрытой поверхности атаки Web 3.0: захватывающий разбор XSS + SSRF в Next.js библиотеке netlify-ipx.
Читать
Использование скрытой поверхности атаки Web 3.0: захватывающий разбор XSS + SSRF в Next.js библиотеке netlify-ipx.
Читать
👍8🙏3