#career #infosec
Все, кто когда-либо сталкивался с уязвимостями, встречал работы Михала Залевски (Michal Zalewski).
Читайте историю этого удивительного специалиста, который кроме успешной ИБ-карьеры написал книгу с практическими советами по подготовке к наступающему концу света. 🤷♂️
Читать
Все, кто когда-либо сталкивался с уязвимостями, встречал работы Михала Залевски (Michal Zalewski).
Читайте историю этого удивительного специалиста, который кроме успешной ИБ-карьеры написал книгу с практическими советами по подготовке к наступающему концу света. 🤷♂️
Читать
Хабр
От взлома Firefox до подготовки к Апокалипсису. Как польский хакер Михал Залевски попал в «Матрицу»
Как говорят философы, лучший код — код, которого нет или который не нужно поддерживать. Эта мудрость объясняет, почему некоторые выдающиеся разработчики не пишут много нового кода, а наоборот — ставят...
#CVE #infosec
Вдогонку к предыдущему посту хочется более глубоко раскрыть тему CVE. Самое главное: CVE может принести вам известность в ИБ-кругах. Под катом вы увидите краткие ответы на следующие вопросы:
— Что такое CVE?
— Кто может сообщить о CVE?
— Можно ли получить свою?
— Где искать? И другие.
Читать
Вдогонку к предыдущему посту хочется более глубоко раскрыть тему CVE. Самое главное: CVE может принести вам известность в ИБ-кругах. Под катом вы увидите краткие ответы на следующие вопросы:
— Что такое CVE?
— Кто может сообщить о CVE?
— Можно ли получить свою?
— Где искать? И другие.
Читать
Gwendal Le Coguic
CVE demystified
As a security researcher, as a beginner, you may see the fact of having your own CVE as the Graal.
What are CVEs ?
Who can request them ?
Is it possible to get your own ?
Where to search ? What products ?
Let’s demystify the legend.
What are CVEs ?
Who can request them ?
Is it possible to get your own ?
Where to search ? What products ?
Let’s demystify the legend.
Разбор недавней уязвимости, которая позволяла атакующему с физическим доступом к любому телефону Google Pixel обойти меры защиты экрана блокировки (отпечаток пальца, PIN и так далее) и получить полный доступ к устройству.
Читать
Читать
Хабр
Как я случайно обошёл блокировку Google Pixel и получил за это $70 тысяч
Я обнаружил уязвимость, похоже, затронувшую все телефоны Google Pixel: вы можете дать мне любое заблокированное устройство Pixel, и я верну его вам разблокированным. Баг устранили в обновлении...
#recon #bugbounty #pentest
🔥🔧 х8 — свежий инструмент для обнаружения скрытых параметров в веб-приложении.
https://github.com/Sh1Yo/x8
🔥🔧 х8 — свежий инструмент для обнаружения скрытых параметров в веб-приложении.
https://github.com/Sh1Yo/x8
GitHub
GitHub - Sh1Yo/x8: Hidden parameters discovery suite
Hidden parameters discovery suite. Contribute to Sh1Yo/x8 development by creating an account on GitHub.
#cheatsheet #bugbounty #pentest
Чек-лист для поиска багов в веб-приложениях
В целом выглядит неплохо, но с 2021 года не обновляется.
Репозиторий
Чек-лист для поиска багов в веб-приложениях
В целом выглядит неплохо, но с 2021 года не обновляется.
Репозиторий
GitHub
Bug-bounty/bugbounty_checklist.md at master · sehno/Bug-bounty
Ressources for bug bounty hunting. Contribute to sehno/Bug-bounty development by creating an account on GitHub.
#redteam #learning
На канале уже не раз упоминалось, что облака — это новый ландшафт корпоративных угроз. В сегодняшнем посте затронем Azure Active Directory, а также разберемся с правами доступа и привилегиями для понимания возможных векторов атаки.
— Часть 1
— Часть 2
На канале уже не раз упоминалось, что облака — это новый ландшафт корпоративных угроз. В сегодняшнем посте затронем Azure Active Directory, а также разберемся с правами доступа и привилегиями для понимания возможных векторов атаки.
— Часть 1
— Часть 2
csandker.io
Untangling Azure Active Directory Principals & Access Permissions
This blog post will untangle the question of 'who has access to what' in an Azure Active Directory environment. A PowerShell tool will also be released to automatically enumerate this.
🚀 IT и реальный сектор экономики: какие отрасли выстрелят через 5 лет
Каждые пять-десять лет список актуальных и востребованных профессий меняется. Разберемся, какие отрасли могут быть популярны в 2027 году.
🔗 Основной сайт
🔗 Зеркало
Каждые пять-десять лет список актуальных и востребованных профессий меняется. Разберемся, какие отрасли могут быть популярны в 2027 году.
🔗 Основной сайт
🔗 Зеркало
#writeup #bugbounty #pentest
Если перебираешь заголовки и параметры веб-запроса не бездумно, то и до критической уязвимости не далеко. Смотрите пример с SSRF.
Читать
Если перебираешь заголовки и параметры веб-запроса не бездумно, то и до критической уязвимости не далеко. Смотрите пример с SSRF.
Читать
Medium
Story of a $1k bounty — SSRF to leaking access token and other sensitive information
Hello and welcome everyone to my story of how I got my first bounty on HackerOne by exploiting an SSRF that leaked Google cloud access…
#writeup #bugbounty #pentest
Подробный обзор цепочки ошибок в одном из поддоменов Microsoft, которые привели исследователя к Залу Славы компании.
Читать
Подробный обзор цепочки ошибок в одном из поддоменов Microsoft, которые привели исследователя к Залу Славы компании.
Читать
Medium
$6000 with Microsoft Hall of Fame | Microsoft Firewall Bypass | CRLF to XSS | Microsoft Bug Bounty
Microsoft Firewall Bypass
#pentest #bugbounty #learning
Плейлист с видеоуроками, в которых команда Intigriti за 100 секунд объясняет популярные уязвимости. На текущий момент доступны видео про XSS, SSRF и SSTI.
Смотреть
Плейлист с видеоуроками, в которых команда Intigriti за 100 секунд объясняет популярные уязвимости. На текущий момент доступны видео про XSS, SSRF и SSTI.
Смотреть
YouTube
In 100 seconds - YouTube
📌 Если вы всегда хотите быть в курсе книжных новинок, обновлений и другой полезной информации, касающейся вашего языка или области программирования, вы можете начать читать один из наших каналов, где мы каждый день публикуем учебные материалы для разработчиков разного уровня.
😂 Канал с мемами: t.me/itmemlib
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
🎓 Наша школа Proglib Academy: https://t.me/proglib_academy
📺 Наш канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
📺 Наш канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
#news
Очередная подборка новостей для этичного хакера:
— Итоги пентестов — 2022
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Security Week от «Лаборатории Касперского»
— DDos-атака на Антипова, хакер совершил 50000 взломов, в Дании не ходят поезда: Security-новости от главреда секлаб
— Киберучения Positive Technologies №4: классификации и форматы киберучений
Очередная подборка новостей для этичного хакера:
— Итоги пентестов — 2022
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Security Week от «Лаборатории Касперского»
— DDos-атака на Антипова, хакер совершил 50000 взломов, в Дании не ходят поезда: Security-новости от главреда секлаб
— Киберучения Positive Technologies №4: классификации и форматы киберучений
ptsecurity.com
Аналитические статьи
Исследование посвящено итогам анализа проектов по внешнему и внутреннему тестированию на проникновение. По результатам анализа была подготовлена тепловая карта MITRE ATT&CK с действиями пентестеров и сформированы рекомендации по повышению уровня защищенности…
#pentest #bugbounty #learning
Подробное введение в безопасность JWT (JSON Web Token): от разбора принципов до фаззинга и многого другого.
🔗 Часть 1
🔗 Часть 2
🔗 Часть 3
Подробное введение в безопасность JWT (JSON Web Token): от разбора принципов до фаззинга и многого другого.
🔗 Часть 1
🔗 Часть 2
🔗 Часть 3
Zero Day Hacker - Teaching myself ethical hacking. Here's what I've learned, from day zero onward.
What is a JWT – JSON Web Token? - Zero Day Hacker
Understanding JSON Web Tokens will open up new opportunities for you as an ethical hacker. Here's what you need to know.
Если вы возьмете BurpSuite, Wireshark и голый Android смартфон, то узнаете об очень насыщенной жизни последнего.
Подробнее
Подробнее
Хабр
Анализ трафика телеметрической информации Android смартфона
Сбор телеметрических данных о пользователях и их действиях в вебе и приложениях — плата за пользование «бесплатными» сервисами в Интернете. Пользователи расплачиваются своим вниманием и временем,...
#news
🔥 Доступные записи с The Standoff 2022:
— Standoff Talks 2022
— Эфирная студия: день 1
— Плейлист с докладами
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— Много ИБ-статистики. Как перевернулся мир ИБ за три года?
— Flipper-Zero спас кота, разделка свиней, посадили за VPN, халявный инсулин: Security-новости от главреда секлаб
— Standoff Talks 2022
— Эфирная студия: день 1
— Плейлист с докладами
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— Много ИБ-статистики. Как перевернулся мир ИБ за три года?
— Flipper-Zero спас кота, разделка свиней, посадили за VPN, халявный инсулин: Security-новости от главреда секлаб
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Standoff Talks 2022
Очень беспощадная и одновременно элегантная атака, которая позволила киберпреступникам украсть 235 000 долларов у пользователей одного из клиентов AWS.
Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
research.securitum.com
Amazon once again lost control (for 3 hours) over the IP pool in a BGP Hijacking attack - research.securitum.com
Last month, Amazon lost control of its cloud-based IP address pool for more than three hours, which allowed cyber criminals to steal $235,000 from users of one of AWS’s customers. Using BGP hijacking, hackers gained control over a pool of 256 IP addresses.…
«Библиотека программиста» находится в поиске авторов оригинальных статей
Языки:
– Python, JavaScript, TypeScript, SQL.
Тематики:
– Информационная безопасность, Data Science, базовые концепции языков, продвинутый Python, JS (и т. д), бэкенд веб-приложений, фронтенд-разработка, React, системное программирование, базы данных.
Объем:
– от 7 до 15 тыс. знаков.
➡️ Заполнить анкету ⬅️
Я хорошо программирую, но пишу «так себе». Что делать?
Если вы хорошо программируете, но навыки письма немного отстают, пройдите наш бесплатный курс на Степике «Статьи для IT: как объяснять и распространять значимые идеи».
Языки:
– Python, JavaScript, TypeScript, SQL.
Тематики:
– Информационная безопасность, Data Science, базовые концепции языков, продвинутый Python, JS (и т. д), бэкенд веб-приложений, фронтенд-разработка, React, системное программирование, базы данных.
Объем:
– от 7 до 15 тыс. знаков.
➡️ Заполнить анкету ⬅️
Я хорошо программирую, но пишу «так себе». Что делать?
Если вы хорошо программируете, но навыки письма немного отстают, пройдите наш бесплатный курс на Степике «Статьи для IT: как объяснять и распространять значимые идеи».
#pentest #bugbounty #practice
Введение в REcollapse, инструмент для фаззинга регулярных выражений методом черного ящика.
Читать
Введение в REcollapse, инструмент для фаззинга регулярных выражений методом черного ящика.
Читать
0Xacb
Till REcollapse - 0xacb
Welcome back to my blog. In this post, I’ll explain the REcollapse technique. I’ve been researching it for the last couple of years to discover weirdly simpl...
Мы переезжаем с текущего офиса в центре Москвы с идеальной локацией — рядом метро и все необходимое.
Если у кого-то есть знакомые, которым нужно хорошее пространство на 5 человек, например, взамен коворкингу, то это идеальный вариант.
А еще там осталась мебель в хорошем состоянии, которую можно выкупить дешевле, чем заказывать из магазина.
Адрес: https://yandex.ru/maps/-/CCUfFIa2-D
Записаться на просмотр: https://proglib.tech/w/c9e8bf63
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM