#redteam #learning
На канале уже не раз упоминалось, что облака — это новый ландшафт корпоративных угроз. В сегодняшнем посте затронем Azure Active Directory, а также разберемся с правами доступа и привилегиями для понимания возможных векторов атаки.
— Часть 1
— Часть 2
На канале уже не раз упоминалось, что облака — это новый ландшафт корпоративных угроз. В сегодняшнем посте затронем Azure Active Directory, а также разберемся с правами доступа и привилегиями для понимания возможных векторов атаки.
— Часть 1
— Часть 2
csandker.io
Untangling Azure Active Directory Principals & Access Permissions
This blog post will untangle the question of 'who has access to what' in an Azure Active Directory environment. A PowerShell tool will also be released to automatically enumerate this.
🚀 IT и реальный сектор экономики: какие отрасли выстрелят через 5 лет
Каждые пять-десять лет список актуальных и востребованных профессий меняется. Разберемся, какие отрасли могут быть популярны в 2027 году.
🔗 Основной сайт
🔗 Зеркало
Каждые пять-десять лет список актуальных и востребованных профессий меняется. Разберемся, какие отрасли могут быть популярны в 2027 году.
🔗 Основной сайт
🔗 Зеркало
#writeup #bugbounty #pentest
Если перебираешь заголовки и параметры веб-запроса не бездумно, то и до критической уязвимости не далеко. Смотрите пример с SSRF.
Читать
Если перебираешь заголовки и параметры веб-запроса не бездумно, то и до критической уязвимости не далеко. Смотрите пример с SSRF.
Читать
Medium
Story of a $1k bounty — SSRF to leaking access token and other sensitive information
Hello and welcome everyone to my story of how I got my first bounty on HackerOne by exploiting an SSRF that leaked Google cloud access…
#writeup #bugbounty #pentest
Подробный обзор цепочки ошибок в одном из поддоменов Microsoft, которые привели исследователя к Залу Славы компании.
Читать
Подробный обзор цепочки ошибок в одном из поддоменов Microsoft, которые привели исследователя к Залу Славы компании.
Читать
Medium
$6000 with Microsoft Hall of Fame | Microsoft Firewall Bypass | CRLF to XSS | Microsoft Bug Bounty
Microsoft Firewall Bypass
#pentest #bugbounty #learning
Плейлист с видеоуроками, в которых команда Intigriti за 100 секунд объясняет популярные уязвимости. На текущий момент доступны видео про XSS, SSRF и SSTI.
Смотреть
Плейлист с видеоуроками, в которых команда Intigriti за 100 секунд объясняет популярные уязвимости. На текущий момент доступны видео про XSS, SSRF и SSTI.
Смотреть
YouTube
In 100 seconds - YouTube
📌 Если вы всегда хотите быть в курсе книжных новинок, обновлений и другой полезной информации, касающейся вашего языка или области программирования, вы можете начать читать один из наших каналов, где мы каждый день публикуем учебные материалы для разработчиков разного уровня.
😂 Канал с мемами: t.me/itmemlib
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
🎓 Наша школа Proglib Academy: https://t.me/proglib_academy
📺 Наш канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
📺 Наш канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
#news
Очередная подборка новостей для этичного хакера:
— Итоги пентестов — 2022
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Security Week от «Лаборатории Касперского»
— DDos-атака на Антипова, хакер совершил 50000 взломов, в Дании не ходят поезда: Security-новости от главреда секлаб
— Киберучения Positive Technologies №4: классификации и форматы киберучений
Очередная подборка новостей для этичного хакера:
— Итоги пентестов — 2022
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Security Week от «Лаборатории Касперского»
— DDos-атака на Антипова, хакер совершил 50000 взломов, в Дании не ходят поезда: Security-новости от главреда секлаб
— Киберучения Positive Technologies №4: классификации и форматы киберучений
ptsecurity.com
Аналитические статьи
Исследование посвящено итогам анализа проектов по внешнему и внутреннему тестированию на проникновение. По результатам анализа была подготовлена тепловая карта MITRE ATT&CK с действиями пентестеров и сформированы рекомендации по повышению уровня защищенности…
#pentest #bugbounty #learning
Подробное введение в безопасность JWT (JSON Web Token): от разбора принципов до фаззинга и многого другого.
🔗 Часть 1
🔗 Часть 2
🔗 Часть 3
Подробное введение в безопасность JWT (JSON Web Token): от разбора принципов до фаззинга и многого другого.
🔗 Часть 1
🔗 Часть 2
🔗 Часть 3
Zero Day Hacker - Teaching myself ethical hacking. Here's what I've learned, from day zero onward.
What is a JWT – JSON Web Token? - Zero Day Hacker
Understanding JSON Web Tokens will open up new opportunities for you as an ethical hacker. Here's what you need to know.
Если вы возьмете BurpSuite, Wireshark и голый Android смартфон, то узнаете об очень насыщенной жизни последнего.
Подробнее
Подробнее
Хабр
Анализ трафика телеметрической информации Android смартфона
Сбор телеметрических данных о пользователях и их действиях в вебе и приложениях — плата за пользование «бесплатными» сервисами в Интернете. Пользователи расплачиваются своим вниманием и временем,...
#news
🔥 Доступные записи с The Standoff 2022:
— Standoff Talks 2022
— Эфирная студия: день 1
— Плейлист с докладами
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— Много ИБ-статистики. Как перевернулся мир ИБ за три года?
— Flipper-Zero спас кота, разделка свиней, посадили за VPN, халявный инсулин: Security-новости от главреда секлаб
— Standoff Talks 2022
— Эфирная студия: день 1
— Плейлист с докладами
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— Много ИБ-статистики. Как перевернулся мир ИБ за три года?
— Flipper-Zero спас кота, разделка свиней, посадили за VPN, халявный инсулин: Security-новости от главреда секлаб
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Standoff Talks 2022
Очень беспощадная и одновременно элегантная атака, которая позволила киберпреступникам украсть 235 000 долларов у пользователей одного из клиентов AWS.
Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
research.securitum.com
Amazon once again lost control (for 3 hours) over the IP pool in a BGP Hijacking attack - research.securitum.com
Last month, Amazon lost control of its cloud-based IP address pool for more than three hours, which allowed cyber criminals to steal $235,000 from users of one of AWS’s customers. Using BGP hijacking, hackers gained control over a pool of 256 IP addresses.…
«Библиотека программиста» находится в поиске авторов оригинальных статей
Языки:
– Python, JavaScript, TypeScript, SQL.
Тематики:
– Информационная безопасность, Data Science, базовые концепции языков, продвинутый Python, JS (и т. д), бэкенд веб-приложений, фронтенд-разработка, React, системное программирование, базы данных.
Объем:
– от 7 до 15 тыс. знаков.
➡️ Заполнить анкету ⬅️
Я хорошо программирую, но пишу «так себе». Что делать?
Если вы хорошо программируете, но навыки письма немного отстают, пройдите наш бесплатный курс на Степике «Статьи для IT: как объяснять и распространять значимые идеи».
Языки:
– Python, JavaScript, TypeScript, SQL.
Тематики:
– Информационная безопасность, Data Science, базовые концепции языков, продвинутый Python, JS (и т. д), бэкенд веб-приложений, фронтенд-разработка, React, системное программирование, базы данных.
Объем:
– от 7 до 15 тыс. знаков.
➡️ Заполнить анкету ⬅️
Я хорошо программирую, но пишу «так себе». Что делать?
Если вы хорошо программируете, но навыки письма немного отстают, пройдите наш бесплатный курс на Степике «Статьи для IT: как объяснять и распространять значимые идеи».
#pentest #bugbounty #practice
Введение в REcollapse, инструмент для фаззинга регулярных выражений методом черного ящика.
Читать
Введение в REcollapse, инструмент для фаззинга регулярных выражений методом черного ящика.
Читать
0Xacb
Till REcollapse - 0xacb
Welcome back to my blog. In this post, I’ll explain the REcollapse technique. I’ve been researching it for the last couple of years to discover weirdly simpl...
Мы переезжаем с текущего офиса в центре Москвы с идеальной локацией — рядом метро и все необходимое.
Если у кого-то есть знакомые, которым нужно хорошее пространство на 5 человек, например, взамен коворкингу, то это идеальный вариант.
А еще там осталась мебель в хорошем состоянии, которую можно выкупить дешевле, чем заказывать из магазина.
Адрес: https://yandex.ru/maps/-/CCUfFIa2-D
Записаться на просмотр: https://proglib.tech/w/c9e8bf63
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
«Хакер»: Дмитрий Артимович о DDoS, scareware и изнанке жизни хакера
Дмитрий Артимович — один из самых известных на Западе русских хакеров. Именно он устроил DDoS-атаку платежного шлюза Assist, в результате которой «Аэрофлот» полторы недели не мог принимать оплату. Недавно Артимович написал книгу «Я — хакер! Хроника потерянного поколения», где раскрыл множество инсайдов. Даня Шеповалов прочитал ее, слегка ужаснулся некоторым скандальным подробностям и поговорил с Дмитрием о его непростом опыте.
Читать
Дмитрий Артимович — один из самых известных на Западе русских хакеров. Именно он устроил DDoS-атаку платежного шлюза Assist, в результате которой «Аэрофлот» полторы недели не мог принимать оплату. Недавно Артимович написал книгу «Я — хакер! Хроника потерянного поколения», где раскрыл множество инсайдов. Даня Шеповалов прочитал ее, слегка ужаснулся некоторым скандальным подробностям и поговорил с Дмитрием о его непростом опыте.
Читать
Хабр
«Хакер»: Дмитрий Артимович о DDoS, scareware и изнанке жизни хакера
Дмитрий Артимович — один из самых известных на Западе русских хакеров. Именно он устроил DDoS-атаку платежного шлюза Assist, в результате которой «Аэрофлот» полторы недели не мог принимать оплату....
#practice #bugbounty #pentest #CVE
Магия и потенциал уязвимости PHP Object Injection на примере vBulletin.
Читать
Магия и потенциал уязвимости PHP Object Injection на примере vBulletin.
Читать