#basics #learning
🔼 Визуальное руководство по SSH-туннелям + лабораторные работы. Если интересуетесь темой компьютерных сетей, читайте полную серию Computer Networking Fundamentals.
🔼 Визуальное руководство по SSH-туннелям + лабораторные работы. Если интересуетесь темой компьютерных сетей, читайте полную серию Computer Networking Fundamentals.
#pentest #career
В поисках туториала по пентесту: как и откуда получить базовые знания, чтобы стать ИБ-специалистом.
Читать
В поисках туториала по пентесту: как и откуда получить базовые знания, чтобы стать ИБ-специалистом.
Читать
Форум информационной безопасности - Codeby.net
В поисках туториала по пентесту - Форум информационной...
You must be registered for see element.
Последние год-полтора я медленно бродил по просторам интернета в поисках информации по становлению специалистом по ИБ и пентесту. В основном суть...
Последние год-полтора я медленно бродил по просторам интернета в поисках информации по становлению специалистом по ИБ и пентесту. В основном суть...
#career
Ищете работу в ИБ и устали ежедневно просматривать десятки сайтов? Подписывайтесь в Telegram на наш канал и узнавайте о самых интересных вакансиях без лишних телодвижений!
https://t.me/hackdevjob
Ищете работу в ИБ и устали ежедневно просматривать десятки сайтов? Подписывайтесь в Telegram на наш канал и узнавайте о самых интересных вакансиях без лишних телодвижений!
https://t.me/hackdevjob
Telegram
InfoSec Jobs — вакансии по информационной безопасности, infosec, pentesting, пентестингу, security engineer, инфобезу, DevSecOps
Лучшие вакансии для хакеров.
По рекламе: @proglib_adv
Учиться у нас: https://proglib.io/w/0aa0c9ee
Для обратной связи: @proglibrary_feeedback_bot
Наши каналы: https://t.me/proglibrary/9197
По рекламе: @proglib_adv
Учиться у нас: https://proglib.io/w/0aa0c9ee
Для обратной связи: @proglibrary_feeedback_bot
Наши каналы: https://t.me/proglibrary/9197
#tips #bugbounty #pentest
Полезный материал из рубрики «Что я узнал из баг-репортов»
Автор проанализировал 143 баг-репорта и 74 writeup'а на тему Subdomain Takeovers (SDTO), DNS Hijacking, Dangling DNS и CNAME misconfigurations. Поверьте, ему есть что сказать.
Читать
Полезный материал из рубрики «Что я узнал из баг-репортов»
Автор проанализировал 143 баг-репорта и 74 writeup'а на тему Subdomain Takeovers (SDTO), DNS Hijacking, Dangling DNS и CNAME misconfigurations. Поверьте, ему есть что сказать.
Читать
Medium
What I learnt from reading 217* Subdomain Takeover bug reports.
A comprehensive analysis of Subdomain Takeovers (SDTO), DNS Hijacking, Dangling DNS, CNAME misconfigurations…
#learning #bugbounty
Многие из этих книг опубликованы на канале, тем не менее ловите подборку из пяти книг по поиску ошибок для начинающих, которые вы должны прочитать.
Читать
Многие из этих книг опубликованы на канале, тем не менее ловите подборку из пяти книг по поиску ошибок для начинающих, которые вы должны прочитать.
Читать
Forwarded from Библиотека IT-мемов
▶️ Больше мемов вы найдете на канале @itmemlib
#CVE #redteam
Коллекция ядерных уязвимостей с подробным описанием и демо, направленных на повышение привилегий в Windows.
https://github.com/Ascotbe/Kernelhub
Коллекция ядерных уязвимостей с подробным описанием и демо, направленных на повышение привилегий в Windows.
https://github.com/Ascotbe/Kernelhub
GitHub
GitHub - Ascotbe/Kernelhub: :palm_tree:Linux、macOS、Windows Kernel privilege escalation vulnerability collection, with compilation…
:palm_tree:Linux、macOS、Windows Kernel privilege escalation vulnerability collection, with compilation environment, demo GIF map, vulnerability details, executable file (提权漏洞合集) - GitHub - Ascotbe...
Документ, который призван расширить текущую модель угроз и предоставить подробные рекомендации по обеспечению безопасности Node.js приложений.
Читать
Читать
Google Docs
Nodejs - Threat Model
Node.js Threat Model Initiative: Security Model Strategy Note: This document is currently under development. If you want to contribute, feel free to ask permission to this document in the #nodejs-security-wg OpenJS Foundation Slack channel. PR Created:…
#career #infosec
Все, кто когда-либо сталкивался с уязвимостями, встречал работы Михала Залевски (Michal Zalewski).
Читайте историю этого удивительного специалиста, который кроме успешной ИБ-карьеры написал книгу с практическими советами по подготовке к наступающему концу света. 🤷♂️
Читать
Все, кто когда-либо сталкивался с уязвимостями, встречал работы Михала Залевски (Michal Zalewski).
Читайте историю этого удивительного специалиста, который кроме успешной ИБ-карьеры написал книгу с практическими советами по подготовке к наступающему концу света. 🤷♂️
Читать
Хабр
От взлома Firefox до подготовки к Апокалипсису. Как польский хакер Михал Залевски попал в «Матрицу»
Как говорят философы, лучший код — код, которого нет или который не нужно поддерживать. Эта мудрость объясняет, почему некоторые выдающиеся разработчики не пишут много нового кода, а наоборот — ставят...
#CVE #infosec
Вдогонку к предыдущему посту хочется более глубоко раскрыть тему CVE. Самое главное: CVE может принести вам известность в ИБ-кругах. Под катом вы увидите краткие ответы на следующие вопросы:
— Что такое CVE?
— Кто может сообщить о CVE?
— Можно ли получить свою?
— Где искать? И другие.
Читать
Вдогонку к предыдущему посту хочется более глубоко раскрыть тему CVE. Самое главное: CVE может принести вам известность в ИБ-кругах. Под катом вы увидите краткие ответы на следующие вопросы:
— Что такое CVE?
— Кто может сообщить о CVE?
— Можно ли получить свою?
— Где искать? И другие.
Читать
Gwendal Le Coguic
CVE demystified
As a security researcher, as a beginner, you may see the fact of having your own CVE as the Graal.
What are CVEs ?
Who can request them ?
Is it possible to get your own ?
Where to search ? What products ?
Let’s demystify the legend.
What are CVEs ?
Who can request them ?
Is it possible to get your own ?
Where to search ? What products ?
Let’s demystify the legend.
Разбор недавней уязвимости, которая позволяла атакующему с физическим доступом к любому телефону Google Pixel обойти меры защиты экрана блокировки (отпечаток пальца, PIN и так далее) и получить полный доступ к устройству.
Читать
Читать
Хабр
Как я случайно обошёл блокировку Google Pixel и получил за это $70 тысяч
Я обнаружил уязвимость, похоже, затронувшую все телефоны Google Pixel: вы можете дать мне любое заблокированное устройство Pixel, и я верну его вам разблокированным. Баг устранили в обновлении...
#recon #bugbounty #pentest
🔥🔧 х8 — свежий инструмент для обнаружения скрытых параметров в веб-приложении.
https://github.com/Sh1Yo/x8
🔥🔧 х8 — свежий инструмент для обнаружения скрытых параметров в веб-приложении.
https://github.com/Sh1Yo/x8
GitHub
GitHub - Sh1Yo/x8: Hidden parameters discovery suite
Hidden parameters discovery suite. Contribute to Sh1Yo/x8 development by creating an account on GitHub.
#cheatsheet #bugbounty #pentest
Чек-лист для поиска багов в веб-приложениях
В целом выглядит неплохо, но с 2021 года не обновляется.
Репозиторий
Чек-лист для поиска багов в веб-приложениях
В целом выглядит неплохо, но с 2021 года не обновляется.
Репозиторий
GitHub
Bug-bounty/bugbounty_checklist.md at master · sehno/Bug-bounty
Ressources for bug bounty hunting. Contribute to sehno/Bug-bounty development by creating an account on GitHub.
#redteam #learning
На канале уже не раз упоминалось, что облака — это новый ландшафт корпоративных угроз. В сегодняшнем посте затронем Azure Active Directory, а также разберемся с правами доступа и привилегиями для понимания возможных векторов атаки.
— Часть 1
— Часть 2
На канале уже не раз упоминалось, что облака — это новый ландшафт корпоративных угроз. В сегодняшнем посте затронем Azure Active Directory, а также разберемся с правами доступа и привилегиями для понимания возможных векторов атаки.
— Часть 1
— Часть 2
csandker.io
Untangling Azure Active Directory Principals & Access Permissions
This blog post will untangle the question of 'who has access to what' in an Azure Active Directory environment. A PowerShell tool will also be released to automatically enumerate this.
🚀 IT и реальный сектор экономики: какие отрасли выстрелят через 5 лет
Каждые пять-десять лет список актуальных и востребованных профессий меняется. Разберемся, какие отрасли могут быть популярны в 2027 году.
🔗 Основной сайт
🔗 Зеркало
Каждые пять-десять лет список актуальных и востребованных профессий меняется. Разберемся, какие отрасли могут быть популярны в 2027 году.
🔗 Основной сайт
🔗 Зеркало
#writeup #bugbounty #pentest
Если перебираешь заголовки и параметры веб-запроса не бездумно, то и до критической уязвимости не далеко. Смотрите пример с SSRF.
Читать
Если перебираешь заголовки и параметры веб-запроса не бездумно, то и до критической уязвимости не далеко. Смотрите пример с SSRF.
Читать
Medium
Story of a $1k bounty — SSRF to leaking access token and other sensitive information
Hello and welcome everyone to my story of how I got my first bounty on HackerOne by exploiting an SSRF that leaked Google cloud access…
#writeup #bugbounty #pentest
Подробный обзор цепочки ошибок в одном из поддоменов Microsoft, которые привели исследователя к Залу Славы компании.
Читать
Подробный обзор цепочки ошибок в одном из поддоменов Microsoft, которые привели исследователя к Залу Славы компании.
Читать
Medium
$6000 with Microsoft Hall of Fame | Microsoft Firewall Bypass | CRLF to XSS | Microsoft Bug Bounty
Microsoft Firewall Bypass
#pentest #bugbounty #learning
Плейлист с видеоуроками, в которых команда Intigriti за 100 секунд объясняет популярные уязвимости. На текущий момент доступны видео про XSS, SSRF и SSTI.
Смотреть
Плейлист с видеоуроками, в которых команда Intigriti за 100 секунд объясняет популярные уязвимости. На текущий момент доступны видео про XSS, SSRF и SSTI.
Смотреть
YouTube
In 100 seconds - YouTube