#tips #bugbounty
Вот так просто можно утащить Access Token через Wildcard Origin в postMessage🤷 .
Источник
Вот так просто можно утащить Access Token через Wildcard Origin в postMessage
Источник
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
#bugbounty #bestpractices #podcast
🎙 Подкаст «Hack me, если сможешь»: как начать свой путь в bug bounty
Любопытный разговор с Circuit о bug bounty, инструментах багхантера и о том, как найти свою первую уязвимость (и получить за это вознаграждение).
▶️ Слушать
Любопытный разговор с Circuit о bug bounty, инструментах багхантера и о том, как найти свою первую уязвимость (и получить за это вознаграждение).
▶️ Слушать
Please open Telegram to view this post
VIEW IN TELEGRAM
8 выпуск 2 сезона
Рассказы этичного хакера: как начать свой путь в bug bounty — Подкаст «Hack me, если сможешь»
Гостем выпуска стал багхантер, который за пять лет своей деятельности нашел более сотни уязвимостей в различных соцсетях и известных интернет-сервисах вроде Slack, GitLab и даже PornHub, а также попал в зал славы Qiwi, На платформах bug bounty он изв
#bestpractices #bugbounty #pentest
🔝 10 лучших методов веб-хакинга в 2022 году
Опубликован 16-й выпуск ежегодной инициативы сообщества по выявлению наиболее важных и инновационных исследований в области веб-безопасности, опубликованных за последний год.
Читать
Опубликован 16-й выпуск ежегодной инициативы сообщества по выявлению наиболее важных и инновационных исследований в области веб-безопасности, опубликованных за последний год.
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
PortSwigger Research
Top 10 web hacking techniques of 2022
Welcome to the Top 10 Web Hacking Techniques of 2022, the 16th edition of our annual community-powered effort to identify the most important and innovative web security research published in the last
#pentest #bugbounty
Полный разбор истории этичного взлома глобальной сети управления поставщиками Toyota с нуля. К сожалению, исследователь так и не получил вознаграждение.
Читать
Полный разбор истории этичного взлома глобальной сети управления поставщиками Toyota с нуля. К сожалению, исследователь так и не получил вознаграждение.
Читать
Eaton-Works
Hacking into Toyota’s global supplier management network
Inside an exploit that allowed logging in to Toyota’s GSPIMS application as any user, including system admins.
Please open Telegram to view this post
VIEW IN TELEGRAM
#bugbounty #learning
С такими образовательными ресурсами начать искать баги стало еще проще.👇
https://www.bugbountyhunting.com/
С такими образовательными ресурсами начать искать баги стало еще проще.👇
https://www.bugbountyhunting.com/
Bugbountyhunting
BugBountyHunting.com - A community-curated Resource for Bug Bounty Hunting
BugBountyHunting.com collects writeups, resources and content related to bug bounty hunting to help you access them quickly.
It's goal is to help beginners starting in web application security to learn more about bug bounty hunting.
It's goal is to help beginners starting in web application security to learn more about bug bounty hunting.
Please open Telegram to view this post
VIEW IN TELEGRAM
#tools #pentest #bugbounty
⚙️ SSRFmap — инструмент для автоматизации фаззинга и эксплуатации SSRF.
https://github.com/swisskyrepo/SSRFmap
https://github.com/swisskyrepo/SSRFmap
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - swisskyrepo/SSRFmap: Automatic SSRF fuzzer and exploitation tool
Automatic SSRF fuzzer and exploitation tool. Contribute to swisskyrepo/SSRFmap development by creating an account on GitHub.
Bypass-AV.png
2 MB
📌 Если вы всегда хотите быть в курсе книжных новинок, обновлений и другой полезной информации, касающейся вашего языка или области программирования, вы можете начать читать один из наших каналов, где мы каждый день публикуем учебные материалы для разработчиков разного уровня.
😂 Канал с мемами: t.me/itmemlib
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
🎓 Школа Proglib Academy: https://t.me/proglib_academy
📺 Канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
📺 Канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
Какие материалы вы хотите видеть на канале в большей степени?
Anonymous Poll
29%
Bug bounty
35%
Pentesting
27%
Red team
16%
Blue team
32%
Linux (Kali и другие)
51%
Хакерские и другие инструменты
26%
Безопасная разработка
31%
Reverse engineering
2%
Другое (напишу в комментариях)
#tools #recon #pentest
ProjectDiscovery's Open Source Tool Manager
В общем, команда ProjectDiscovery выпустила инструмент pdtm, который управляет другими инструментами. Пришло время навести порядок в своем toolchain'е.👇
https://github.com/projectdiscovery/pdtm
ProjectDiscovery's Open Source Tool Manager
В общем, команда ProjectDiscovery выпустила инструмент pdtm, который управляет другими инструментами. Пришло время навести порядок в своем toolchain'е.👇
https://github.com/projectdiscovery/pdtm
#bugbounty #tips
Верно подмечено, что если дать десяти разработчикам задание написать один и тот же сайт, каждый напишет по-разному. Отсюда и появляются различные варианты логических багов вроде account takeover.
Верно подмечено, что если дать десяти разработчикам задание написать один и тот же сайт, каждый напишет по-разному. Отсюда и появляются различные варианты логических багов вроде account takeover.
Telegraph
10 способов угнать аккаунт
Один из моих любимых багов - account takeover. Это логический баг, а значит кол-во различных вариантов его может быть бесконечно. Дайте 10 разработчикам задание написать один и тот же сайт - каждый напишет по разному. В этой статье описаны 10 самых распространенных…
#bugbounty #writeup #pentest
Вдогонку к предыдущему посту ловите захватывающую историю полного захвата аккаунта из Bug Bounty программы HubSpot.
Читать
Вдогонку к предыдущему посту ловите захватывающую историю полного захвата аккаунта из Bug Bounty программы HubSpot.
Читать
Medium
HubSpot Full Account Takeover in Bug Bounty
Hi everybody, our story today will be about how I was able to get a Full account takeover on HubSpot Public Bug Bounty Program at Bugcrowd…
#news
Очередная подборка новостей для этичного хакера:
🔎 Security week от «Лаборатории Касперского»
🔎 10 лучших методов веб-хакинга в 2022 году
🌐 Злые китайские коммунисты, слили данные — меняй паспорт, атака на пивасик, огонь и люди: Security-новости от главреда секлаб
🔧 Релиз nuclei 2.8.9
🔧 Релиз httpx 1.2.7
🔧 Релиз mapcidr 1.1.0
Очередная подборка новостей для этичного хакера:
🔧 Релиз nuclei 2.8.9
🔧 Релиз httpx 1.2.7
🔧 Релиз mapcidr 1.1.0
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Security Week 2307: утечка обучающих датасетов из нейросетей
Исследователи из университетов США и Швейцарии опубликовали научную работу , в которой исследуется утечка данных, используемых для обучения нейросетей. Конкретно изучались диффузионные модели, а...
👨💻📈 «Я понял, ради чего живу»: как изменилась жизнь русскоязычных айтишников за последний год? Результаты опроса «Библиотеки программиста»
Коротко о главном: пессимистов больше, чем оптимистов; зарплата в IT все равно растет, несмотря ни на что; доход тимлидов и джунов не снижается, а сеньоров и мидлов все-таки штормит.
🔗 Основной сайт
🔗 Зеркало
Коротко о главном: пессимистов больше, чем оптимистов; зарплата в IT все равно растет, несмотря ни на что; доход тимлидов и джунов не снижается, а сеньоров и мидлов все-таки штормит.
🔗 Основной сайт
🔗 Зеркало
#writeup #bugbounty #pentest
Использование уязвимости внедрения CSS-инъекции в PDF-генераторе, что позволило получить доступ к внутреннему API.
Читать
Использование уязвимости внедрения CSS-инъекции в PDF-генераторе, что позволило получить доступ к внутреннему API.
Читать
Medium
Unleashing the power of CSS injection: The access key to an internal API
In this write-up, we will be explaining how a CSS injection point let us access an internal API exposing customer data.
#learning #bugbounty #pentest
Простое объяснение багов, которые часто встречаются в функционале загрузки файла.
https://youtu.be/YAFVGQ-lBoM
Простое объяснение багов, которые часто встречаются в функционале загрузки файла.
https://youtu.be/YAFVGQ-lBoM
YouTube
Web Application Hacking - File Upload Attacks Explained
00:00 Intro
00:40 File uploads primer
03:33 Lab 1: Popcorn
08:59 Chaining vulnerabilities
10:02 Path traversal
16:55 Outro
Pentests & Security Consulting: https://tcm-sec.com
Get Trained: https://academy.tcm-sec.com
Get Certified: https://certifications.tcm…
00:40 File uploads primer
03:33 Lab 1: Popcorn
08:59 Chaining vulnerabilities
10:02 Path traversal
16:55 Outro
Pentests & Security Consulting: https://tcm-sec.com
Get Trained: https://academy.tcm-sec.com
Get Certified: https://certifications.tcm…
#research #tools
На PortSwigger всегда выходят качественные исследования, на которые однозначно стоит обращать внимание. В одном из последних Гарет Хейс рассказывает об обнаружении server-side prototype pollution в JavaScript методом черного ящика, не вызывая DoS.
Более того, автор и команда разработали лаборатории для закрепления навыков и написали расширение для Burp Suite. Дерзайте.👇
Читать
На PortSwigger всегда выходят качественные исследования, на которые однозначно стоит обращать внимание. В одном из последних Гарет Хейс рассказывает об обнаружении server-side prototype pollution в JavaScript методом черного ящика, не вызывая DoS.
Более того, автор и команда разработали лаборатории для закрепления навыков и написали расширение для Burp Suite. Дерзайте.
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
PortSwigger Research
Server-side prototype pollution: Black-box detection without the DoS
Server-side prototype pollution is hard to detect black-box without causing a DoS. In this post, we introduce a range of safe detection techniques, which we've also implemented in an open source Burp
#tools #recon
⚙️ 🔐 TruffleHog — один из самых популярных инструментов для поиска секретов в разных источника. Инструмент активно поддерживается и дорабатывается, а 3-я версия вообще была переписана на Go.
https://github.com/trufflesecurity/trufflehog
https://github.com/trufflesecurity/trufflehog
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - trufflesecurity/trufflehog: Find, verify, and analyze leaked credentials
Find, verify, and analyze leaked credentials. Contribute to trufflesecurity/trufflehog development by creating an account on GitHub.