#tools #pentest #bugbounty
⚙️ SSRFmap — инструмент для автоматизации фаззинга и эксплуатации SSRF.
https://github.com/swisskyrepo/SSRFmap
https://github.com/swisskyrepo/SSRFmap
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - swisskyrepo/SSRFmap: Automatic SSRF fuzzer and exploitation tool
Automatic SSRF fuzzer and exploitation tool. Contribute to swisskyrepo/SSRFmap development by creating an account on GitHub.
Bypass-AV.png
2 MB
📌 Если вы всегда хотите быть в курсе книжных новинок, обновлений и другой полезной информации, касающейся вашего языка или области программирования, вы можете начать читать один из наших каналов, где мы каждый день публикуем учебные материалы для разработчиков разного уровня.
😂 Канал с мемами: t.me/itmemlib
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
🎓 Школа Proglib Academy: https://t.me/proglib_academy
📺 Канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
📺 Канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
Какие материалы вы хотите видеть на канале в большей степени?
Anonymous Poll
29%
Bug bounty
35%
Pentesting
27%
Red team
16%
Blue team
32%
Linux (Kali и другие)
51%
Хакерские и другие инструменты
26%
Безопасная разработка
31%
Reverse engineering
2%
Другое (напишу в комментариях)
#tools #recon #pentest
ProjectDiscovery's Open Source Tool Manager
В общем, команда ProjectDiscovery выпустила инструмент pdtm, который управляет другими инструментами. Пришло время навести порядок в своем toolchain'е.👇
https://github.com/projectdiscovery/pdtm
ProjectDiscovery's Open Source Tool Manager
В общем, команда ProjectDiscovery выпустила инструмент pdtm, который управляет другими инструментами. Пришло время навести порядок в своем toolchain'е.👇
https://github.com/projectdiscovery/pdtm
#bugbounty #tips
Верно подмечено, что если дать десяти разработчикам задание написать один и тот же сайт, каждый напишет по-разному. Отсюда и появляются различные варианты логических багов вроде account takeover.
Верно подмечено, что если дать десяти разработчикам задание написать один и тот же сайт, каждый напишет по-разному. Отсюда и появляются различные варианты логических багов вроде account takeover.
Telegraph
10 способов угнать аккаунт
Один из моих любимых багов - account takeover. Это логический баг, а значит кол-во различных вариантов его может быть бесконечно. Дайте 10 разработчикам задание написать один и тот же сайт - каждый напишет по разному. В этой статье описаны 10 самых распространенных…
#bugbounty #writeup #pentest
Вдогонку к предыдущему посту ловите захватывающую историю полного захвата аккаунта из Bug Bounty программы HubSpot.
Читать
Вдогонку к предыдущему посту ловите захватывающую историю полного захвата аккаунта из Bug Bounty программы HubSpot.
Читать
Medium
HubSpot Full Account Takeover in Bug Bounty
Hi everybody, our story today will be about how I was able to get a Full account takeover on HubSpot Public Bug Bounty Program at Bugcrowd…
#news
Очередная подборка новостей для этичного хакера:
🔎 Security week от «Лаборатории Касперского»
🔎 10 лучших методов веб-хакинга в 2022 году
🌐 Злые китайские коммунисты, слили данные — меняй паспорт, атака на пивасик, огонь и люди: Security-новости от главреда секлаб
🔧 Релиз nuclei 2.8.9
🔧 Релиз httpx 1.2.7
🔧 Релиз mapcidr 1.1.0
Очередная подборка новостей для этичного хакера:
🔧 Релиз nuclei 2.8.9
🔧 Релиз httpx 1.2.7
🔧 Релиз mapcidr 1.1.0
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Security Week 2307: утечка обучающих датасетов из нейросетей
Исследователи из университетов США и Швейцарии опубликовали научную работу , в которой исследуется утечка данных, используемых для обучения нейросетей. Конкретно изучались диффузионные модели, а...
👨💻📈 «Я понял, ради чего живу»: как изменилась жизнь русскоязычных айтишников за последний год? Результаты опроса «Библиотеки программиста»
Коротко о главном: пессимистов больше, чем оптимистов; зарплата в IT все равно растет, несмотря ни на что; доход тимлидов и джунов не снижается, а сеньоров и мидлов все-таки штормит.
🔗 Основной сайт
🔗 Зеркало
Коротко о главном: пессимистов больше, чем оптимистов; зарплата в IT все равно растет, несмотря ни на что; доход тимлидов и джунов не снижается, а сеньоров и мидлов все-таки штормит.
🔗 Основной сайт
🔗 Зеркало
#writeup #bugbounty #pentest
Использование уязвимости внедрения CSS-инъекции в PDF-генераторе, что позволило получить доступ к внутреннему API.
Читать
Использование уязвимости внедрения CSS-инъекции в PDF-генераторе, что позволило получить доступ к внутреннему API.
Читать
Medium
Unleashing the power of CSS injection: The access key to an internal API
In this write-up, we will be explaining how a CSS injection point let us access an internal API exposing customer data.
#learning #bugbounty #pentest
Простое объяснение багов, которые часто встречаются в функционале загрузки файла.
https://youtu.be/YAFVGQ-lBoM
Простое объяснение багов, которые часто встречаются в функционале загрузки файла.
https://youtu.be/YAFVGQ-lBoM
YouTube
Web Application Hacking - File Upload Attacks Explained
00:00 Intro
00:40 File uploads primer
03:33 Lab 1: Popcorn
08:59 Chaining vulnerabilities
10:02 Path traversal
16:55 Outro
Pentests & Security Consulting: https://tcm-sec.com
Get Trained: https://academy.tcm-sec.com
Get Certified: https://certifications.tcm…
00:40 File uploads primer
03:33 Lab 1: Popcorn
08:59 Chaining vulnerabilities
10:02 Path traversal
16:55 Outro
Pentests & Security Consulting: https://tcm-sec.com
Get Trained: https://academy.tcm-sec.com
Get Certified: https://certifications.tcm…
#research #tools
На PortSwigger всегда выходят качественные исследования, на которые однозначно стоит обращать внимание. В одном из последних Гарет Хейс рассказывает об обнаружении server-side prototype pollution в JavaScript методом черного ящика, не вызывая DoS.
Более того, автор и команда разработали лаборатории для закрепления навыков и написали расширение для Burp Suite. Дерзайте.👇
Читать
На PortSwigger всегда выходят качественные исследования, на которые однозначно стоит обращать внимание. В одном из последних Гарет Хейс рассказывает об обнаружении server-side prototype pollution в JavaScript методом черного ящика, не вызывая DoS.
Более того, автор и команда разработали лаборатории для закрепления навыков и написали расширение для Burp Suite. Дерзайте.
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
PortSwigger Research
Server-side prototype pollution: Black-box detection without the DoS
Server-side prototype pollution is hard to detect black-box without causing a DoS. In this post, we introduce a range of safe detection techniques, which we've also implemented in an open source Burp
#tools #recon
⚙️ 🔐 TruffleHog — один из самых популярных инструментов для поиска секретов в разных источника. Инструмент активно поддерживается и дорабатывается, а 3-я версия вообще была переписана на Go.
https://github.com/trufflesecurity/trufflehog
https://github.com/trufflesecurity/trufflehog
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - trufflesecurity/trufflehog: Find, verify, and analyze leaked credentials
Find, verify, and analyze leaked credentials. Contribute to trufflesecurity/trufflehog development by creating an account on GitHub.
#tools #pentest #bugbounty #recon
⚙️ SSTImap — CLI-инструмент для автоматизации поиска уязвимостей Code Injection и Server-Side Template Injection.
https://github.com/vladko312/SSTImap
https://github.com/vladko312/SSTImap
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
PHP Filter Injection: LFI2RCE Explained
There's a relatively new technique called LFI2RCE, which takes a local file include in PHP and uses it to get remote code execution without having to upload a file. This was first introduced by a CTF player named loknop, and picked up and spread by HackTricks…
Top_80_Application_Security_Job_Interview_Questions_and_Answers.pdf
11 MB
Top 80 Application Security Job Interview Questions and Answers, Powerofinformation, 2023
Перед вами 80 часто задаваемых вопросов и ответов на тему ИБ: безопасность приложений, облачная безопасность и безопасность API. Отлично подходит для подготовки к собеседованию.
Перед вами 80 часто задаваемых вопросов и ответов на тему ИБ: безопасность приложений, облачная безопасность и безопасность API. Отлично подходит для подготовки к собеседованию.
⏰ Давай завтра: что заставляет наш мозг прокрастинировать и как с этим бороться
Прокрастинации или откладыванию дел «на потом» подвержена почти половина сознательного населения земного шара. В статье разберемся, что заставляет наш мозг так делать и узнаем, как бороться с этим распространенным явлением.
🔗 Основной сайт
🔗 Зеркало
Прокрастинации или откладыванию дел «на потом» подвержена почти половина сознательного населения земного шара. В статье разберемся, что заставляет наш мозг так делать и узнаем, как бороться с этим распространенным явлением.
🔗 Основной сайт
🔗 Зеркало
#research #redteam
Серия статей об исследовании безопасности и эксплуатации багов в браузерах:
— Часть 1. Введение в V8 и внутреннее устройство JavaScript
— Часть 2. Знакомство с Ignition, Sparkplug и компиляцией JIT в TurboFan
Серия статей об исследовании безопасности и эксплуатации багов в браузерах:
— Часть 1. Введение в V8 и внутреннее устройство JavaScript
— Часть 2. Знакомство с Ignition, Sparkplug и компиляцией JIT в TurboFan
Хабр
Эксплойтинг браузера Chrome, часть 1: введение в V8 и внутреннее устройство JavaScript
Cегодня браузеры играют жизненно важную роль в современных организациях, поскольку всё больше программных приложений доставляется пользователям через веб-браузер в виде веб-приложений. Практически...
#tools #bugbounty #pentest
⚙️ Firefly — свежий инструмент для фаззинга методом черного ящика. Инструмент предоставляет большого количество встроенных проверок для обнаружения поведения вашей цели.
https://github.com/Brum3ns/firefly
https://github.com/Brum3ns/firefly
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Brum3ns/firefly: Black box fuzzer for web applications
Black box fuzzer for web applications. Contribute to Brum3ns/firefly development by creating an account on GitHub.
Бесплатный курс для всех, кто любит качественные IT-публикации и хочет научиться интересно писать о программировании либо улучшить навыки письма.
Курс состоит из семи модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций. Ограничений на время прохождения заданий нет.
Курс будет интересен авторам, работающим в составе редакции, копирайтерам-одиночкам и просто программистам, которые хотят научиться интересно рассказывать о собственных проектах.
Материалы регулярно дополняются, обновляются и корректируется. Отвечаем на все учебные вопросы в комментариях курса.
Как стать автором «Библиотеки программиста» и получать гонорары за статьи?
➡️ Заполните анкету.
Если все ок, мы свяжемся с вами и обсудим дальнейшие шаги.
Please open Telegram to view this post
VIEW IN TELEGRAM
#news
Очередная подборка новостей для этичного хакера:
🔎 Security week от «Лаборатории Касперского»
🌐 Бэкдор в Dota 2, раскрутили на поджог, атака на НАТО: Security-новости от главреда секлаб
Очередная подборка новостей для этичного хакера:
Please open Telegram to view this post
VIEW IN TELEGRAM