#pentest #bugbounty #writeup
Интересный технический разбор цепочки уязвимостей через easyXDM в Riot Games, которая была обнаружена еще в 2016 году.
Читать
Интересный технический разбор цепочки уязвимостей через easyXDM в Riot Games, которая была обнаружена еще в 2016 году.
Читать
easyxdm.net
easyXDM - Cross-domain messaging made easy
easyXDM is a library providing a flexible, reliable, secure and easy to use solution for Cross Domain messaging and Remote Procedure Calls. easyXDM enables you to work around the Same Origin Policy (SOP).
#bugbounty #bestpractices
Учебный путь, который сделает вас успешным в Bug Bounty, может быть разным для всех. Поэтому все попытки сделать универсальный учебный план зачастую безуспешны.
Но у Shubham Shah есть что сказать. Он первый в Австралии на HackerOne, и в тридцатке лучших в мире на HackerOne.
Итак, вы хотите получать вознаграждение за найденные баги? Добро пожаловать под кат.
Читать
Учебный путь, который сделает вас успешным в Bug Bounty, может быть разным для всех. Поэтому все попытки сделать универсальный учебный план зачастую безуспешны.
Но у Shubham Shah есть что сказать. Он первый в Австралии на HackerOne, и в тридцатке лучших в мире на HackerOne.
Итак, вы хотите получать вознаграждение за найденные баги? Добро пожаловать под кат.
Читать
shubs
So, you want to get into bug bounties?
I've been doing bug bounties for over 10 years now and over time, I have grown fonder of the life changing effects it has had for me. From job prospects, to being able to financially support those around me and myself. I believe that if you're passionate…
#хочу_спросить
Задавайте любые вопросы о программировании и получайте ответы от пользователей. В комментариях под постом укажите #язык, #стек и/или #библиотеку, по которым задаете вопрос.
Задавайте любые вопросы о программировании и получайте ответы от пользователей. В комментариях под постом укажите #язык, #стек и/или #библиотеку, по которым задаете вопрос.
#tools #bugbounty #pentest
🔧 autossrf — инструмент, который автоматизирует поиск и эксплуатацию уязвимости SSRF.
https://github.com/Th0h0/autossrf
🔧 autossrf — инструмент, который автоматизирует поиск и эксплуатацию уязвимости SSRF.
https://github.com/Th0h0/autossrf
GitHub
GitHub - Th0h0/autossrf: Smart context-based SSRF vulnerability scanner.
Smart context-based SSRF vulnerability scanner. Contribute to Th0h0/autossrf development by creating an account on GitHub.
#pentest #bugbounty #tip
Иногда для нахождения бага высокой критичности достаточно изменить один заголовок: "
Внимательно анализируйте и фаззите все заголовки веб-приложения.
Читать
Иногда для нахождения бага высокой критичности достаточно изменить один заголовок: "
X-Amz-Server-Side-Encryption: Anything".Внимательно анализируйте и фаззите все заголовки веб-приложения.
Читать
#news
Очередная подборка новостей для этичного хакера:
⏺ all InfoSec news — агрегатор новостей из мира инфосека с Reddit, YouTube и других ресурсов
⏺ «Хакер»: Самые важные события в мире инфосека за ноябрь
⏺ Топ самых интересных CVE за ноябрь 2022 года по версии компании T.Hunter
⏺ Security Week от «Лаборатории Касперского»
▶️ Фишинг от Барселоны, Apple ограничили AirDrop, МВД в metaverse, не хочу в КИИ: Security-новости от главреда секлаб
Очередная подборка новостей для этичного хакера:
Please open Telegram to view this post
VIEW IN TELEGRAM
foo🦍
foo🦍 ~/all coding news
the career platform for coders, hackers and builders :)
#pentest #bugbounty #appsec #security
Помните тот самый перевод OWASP Application Security Verification Standard 4.0? Там было про требования к безопасности веб-приложений.
📌 А как убедиться в том, что эти требования выполняются? Ответ на этот вопрос дает Web Security Testing Guide (WSTG) — Руководство по тестированию безопасности веб-приложений, перевод которого представлен в статье. 🔽
Читать
Помните тот самый перевод OWASP Application Security Verification Standard 4.0? Там было про требования к безопасности веб-приложений.
📌 А как убедиться в том, что эти требования выполняются? Ответ на этот вопрос дает Web Security Testing Guide (WSTG) — Руководство по тестированию безопасности веб-приложений, перевод которого представлен в статье. 🔽
Читать
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#security #appsec
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
📌 Если вы всегда хотите быть в курсе книжных новинок, обновлений и другой полезной информации, касающейся вашего языка или области программирования, вы можете начать читать один из наших каналов, где мы каждый день публикуем учебные материалы для разработчиков разного уровня.
😂 Канал с мемами: t.me/itmemlib
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
🎓 Наша школа Proglib Academy: https://t.me/proglib_academy
📺 Наш канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
📺 Наш канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
🐕🖥 16 универсальных идей для пет-проектов вне зависимости от языка
Хотите создать что-нибудь эдакое, но вам не хватает фантазии и вдохновения? Держите 16 идей для разработки собственного проекта от «Библиотеки программиста».
🔗 Основной сайт
🔗 Зеркало
Хотите создать что-нибудь эдакое, но вам не хватает фантазии и вдохновения? Держите 16 идей для разработки собственного проекта от «Библиотеки программиста».
🔗 Основной сайт
🔗 Зеркало
#recon #news
Новые возможности фаззинга, общие переменные для рабочих процессов, загрузка/обновление кастомных шаблонов из GitHub/AWS S3, интеграция с asnmap/uncover/httpx и, конечно же, многое другое: анонс Nuclei 2.8.0.
Читать
Новые возможности фаззинга, общие переменные для рабочих процессов, загрузка/обновление кастомных шаблонов из GitHub/AWS S3, интеграция с asnmap/uncover/httpx и, конечно же, многое другое: анонс Nuclei 2.8.0.
Читать
ProjectDiscovery
Nuclei v2.8.0 - Fuzz all the way! — ProjectDiscovery Blog
We are excited to announce the release of Nuclei v2.8.0 with new fuzzing capabilities, shared variables for workflows, GitHub/AWS S3 template downloads, integration with asnmap, uncover, and httpx, and of course much more!
These are just a few highlights…
These are just a few highlights…
#appsec #security #pentest #bugbounty
RCE в pgAdmin меньше чем за час: разбираемся, как CodeQL упрощает аудит безопасности кода.
Читать
RCE в pgAdmin меньше чем за час: разбираемся, как CodeQL упрощает аудит безопасности кода.
Читать
Frycos Security Diary
Pre-Auth RCE with CodeQL in Under 20 Minutes
This write-up won’t be an intense discussion on security code review techniques this time. We’ll simply let do all the hard work by a third party: CodeQL.
#pentest #writeup
🚗 В таком исследовании уж точно было бы интересно поучаствовать. Sam Curry и команда недавно обнаружили уязвимость, затрагивающую автомобили Hyundai и Genesis, с помощью которой могли удаленно управлять замками, двигателем, звуковым сигналом, фарами и багажником автомобилей, выпущенных после 2012 года. Все технические детали ждут вас в треде.
🔗 Читать в Твиттере
🔗 Читать в Thread Reader App (если Твиттер не открывается)
🔗 Читать в Твиттере
🔗 Читать в Thread Reader App (если Твиттер не открывается)
Please open Telegram to view this post
VIEW IN TELEGRAM
#bugbounty #recon #tools
Разведка и автоматизация в ходе пентаста и Bug Bounty должны быть вашим конкурентным преимуществом. Но важно, чтобы разведка была регулярной, а не однократно в ходе первичного анализа.
Подробнее
Разведка и автоматизация в ходе пентаста и Bug Bounty должны быть вашим конкурентным преимуществом. Но важно, чтобы разведка была регулярной, а не однократно в ходе первичного анализа.
Подробнее
Labs Detectify
Determining hacking targets with recon and automation - Labs Detectify
Finding hacking targets can be a challenge. Gunnar Andrews talks through how recon and automation can be powerful tools for ethical hackers.
#writeup #pentest #bugbounty #learning
Пошаговое прохождение лабораторий на PortSwigger Academy: на заметку начинающим багхантерам.
Читать
Пошаговое прохождение лабораторий на PortSwigger Academy: на заметку начинающим багхантерам.
Читать
Medium
Frank Leitner – Medium
Read writing from Frank Leitner on Medium. Tech nerd, doing security stuff for fun and some as a job | CISSP-ISSAP, CISM, IEC62443 Expert, OSCP. Every day, Frank Leitner and thousands of other voices read, write, and share important stories on Medium.
⭐ 15 000 звезд на GitHub за год: 10 советов по развитию и продвижению продукта
В этой статье авторы популярного опенсорс-проекта Medusa (альтернатива Shopify) дадут 10 советов по развитию и продвижению продукта.
🔗 Основной сайт
🔗 Зеркало
В этой статье авторы популярного опенсорс-проекта Medusa (альтернатива Shopify) дадут 10 советов по развитию и продвижению продукта.
🔗 Основной сайт
🔗 Зеркало
#reverse #security
🦊Сетевым аналитикам и реверсёрам на заметку: разбор нового MaaS-стилера BlueFox.
Читать
🦊Сетевым аналитикам и реверсёрам на заметку: разбор нового MaaS-стилера BlueFox.
Читать
Хабр
Опасайтесь синих лис: разбор нового MaaS-стилера BlueFox
Мы, специалисты PT Expert Security Center , регулярно отслеживаем угрозы ИБ, в том числе как ранее известные, так и впервые обнаруженные вредоносные программы. Во время такого мониторинга в нашу...
#redteam #appsec #pentest #OSINT #blueteam
🔥 🎄📚 TryHackMe! Advent of Cyber 2022
Хотите проводить каждый день в преддверии нового года с пользой? На платформе TryHackMe вы можете каждый день обучаться и практиковаться с помощью несложных задач из мира инфосека.
Видео от John Hammond поможет войти в курс дела.
👉 https://tryhackme.com/christmas
Хотите проводить каждый день в преддверии нового года с пользой? На платформе TryHackMe вы можете каждый день обучаться и практиковаться с помощью несложных задач из мира инфосека.
Видео от John Hammond поможет войти в курс дела.
👉 https://tryhackme.com/christmas
Please open Telegram to view this post
VIEW IN TELEGRAM
Привет! На связи proglib.academy
Мы решили организовать вебинар для тех, кто хочет, но не может решиться на старт карьеры в IT.
Именно для того, чтобы развеять все мифы про IT, мы пригласили Александра Пупышева, руководителя группы разработки в компании Robofinance. Александр проведёт вебинар в формате Q/A и ответит на все вопросы, которыми задаются новички в IT-сфере.
На вебинаре вы узнаете:
👉🏻Есть ли потолок по возрасту для входа в IT?
👉🏻Как выглядит работа джуна в разных компаниях
👉🏻Как устроиться в IT без опыта работы
Встречаемся 14 декабря в 19:00.
Успей зарегистрироваться по ссылке: Q/A: всё, что вы хотели знать про IT
Мы решили организовать вебинар для тех, кто хочет, но не может решиться на старт карьеры в IT.
Именно для того, чтобы развеять все мифы про IT, мы пригласили Александра Пупышева, руководителя группы разработки в компании Robofinance. Александр проведёт вебинар в формате Q/A и ответит на все вопросы, которыми задаются новички в IT-сфере.
На вебинаре вы узнаете:
👉🏻Есть ли потолок по возрасту для входа в IT?
👉🏻Как выглядит работа джуна в разных компаниях
👉🏻Как устроиться в IT без опыта работы
Встречаемся 14 декабря в 19:00.
Успей зарегистрироваться по ссылке: Q/A: всё, что вы хотели знать про IT