#security #redteam #blueteam
🤖 Два тимлида из «Лаборатории Касперского» — Lead Data Scientist Владислав Тушканов и Incident Response Team Lead Виктор Сергеев (stvetro) — показывают, что GPT способна подсказать злоумышленникам, а что сможет рассказать ИБ-специалистам, а также как она изменит (и уже меняет!) нашу с вами отрасль.
Читать
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Не шути с ChatGPT. Как хайповая нейросеть может применяться в кибератаках и изменить ИБ
Пожалуй, все уже набаловались с ChatGPT, так что пришла пора поговорить о ней максимально серьезно. Технологии искусственного интеллекта влияют на все сферы нашей жизни, включая кибербезопасность – а...
#security #pentest #bugbounty
Погружение в безопасность Kubernetes на примере
Автор сначала создает намеренно уязвимое приложение и показывает, как злоумышленник может воспользоваться такой уязвимостью, а затем использует различные функции kubernetes, чтобы либо обезопасить слабые точки, либо уменьшить влияние уязвимостей.
Читать
Погружение в безопасность Kubernetes на примере
Автор сначала создает намеренно уязвимое приложение и показывает, как злоумышленник может воспользоваться такой уязвимостью, а затем использует различные функции kubernetes, чтобы либо обезопасить слабые точки, либо уменьшить влияние уязвимостей.
Читать
Shishir's Blog
Kubernetes Security Part 1 - Security Contexts
#tip #recon
Команда tee в Linux считывает стандартный ввод и записывает его одновременно в стандартный вывод и в один или несколько подготовленных файлов.
Этот с одной стороны простой, а с другой максимально полезный функционал можно использовать для наших целей, в том числе для перебора поддоменов.
Команда tee в Linux считывает стандартный ввод и записывает его одновременно в стандартный вывод и в один или несколько подготовленных файлов.
Этот с одной стороны простой, а с другой максимально полезный функционал можно использовать для наших целей, в том числе для перебора поддоменов.
Думали Телеграм останется в стороне, и ничего не сделает к 1 апреля, но нет, новая анимация при нажатии лайка — прекрасная! Круто придумали, молодцы! Видимо сам Дуров приложил к этому руку 👍
Please open Telegram to view this post
VIEW IN TELEGRAM
#recon #tools
⚡️ Пошаговая разработка скрипта для автоматизации и повышения эффективности разведки
Автор руководства подробно объясняет предпосылки тех или иных действий, которые автоматизирует скрипт. В итоге получаем своего рода шпаргалку, на которую можно ориентироваться при разработке своего инструмента.
Читать
Автор руководства подробно объясняет предпосылки тех или иных действий, которые автоматизирует скрипт. В итоге получаем своего рода шпаргалку, на которую можно ориентироваться при разработке своего инструмента.
Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
ProjectDiscovery
Building a Fast One-Shot Recon Script for Bug Bounty — ProjectDiscovery Blog
Introduction
In this article we are going to build a fast one-shot recon script to collect the bulk of the information we need to serve as a starting point for our bug bounty testing. This blog post is complementary to the article on building an attack surface…
In this article we are going to build a fast one-shot recon script to collect the bulk of the information we need to serve as a starting point for our bug bounty testing. This blog post is complementary to the article on building an attack surface…
#tip #bugbounty
Если у вас есть JSON-зарос, который вы «контролируете», протестировать слепую SQL-инъекцию можно как на рисунке выше. Ну а потом:
sqlmap -u 'target.com' --data '{"User":"abcdefg","Pwd":"Abc@123"}' --random-agent --ignore-code=403 --dbs --hex
Если у вас есть JSON-зарос, который вы «контролируете», протестировать слепую SQL-инъекцию можно как на рисунке выше. Ну а потом:
sqlmap -u 'target.com' --data '{"User":"abcdefg","Pwd":"Abc@123"}' --random-agent --ignore-code=403 --dbs --hex
#recon #tools
hakrevdns — легковесный инструмент для обратного поиска по DNS. Это отличный способ обнаружить домены/поддомены, принадлежащие компании, когда вы знаете закрепленные диапазоны IP-адресов.
https://github.com/hakluke/hakrevdns
hakrevdns — легковесный инструмент для обратного поиска по DNS. Это отличный способ обнаружить домены/поддомены, принадлежащие компании, когда вы знаете закрепленные диапазоны IP-адресов.
https://github.com/hakluke/hakrevdns
#news
Очередная подборка новостей для этичного хакера:
🌐 Маск и Возняк: Остановите ИИ!; катастрофа в протоколе Wi-fi; проклятая метка в Exchange: Security-новости от главреда секлаб
🔎 Security week от «Лаборатории Касперского»
🔎 «Хакер»: самые важные новости мира безопасности за март
🔎 (Не) Безопасный дайджест от компании SearchInform: если бы в ИБ была «Премия Дарвина» – 2023
🔎 Безопасность в тренде. Лучшие опенсорс-проекты 2022 года от компании GlobalSign
Очередная подборка новостей для этичного хакера:
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Маск и Возняк: Остановите ИИ! | Катастрофа в протоколе Wi-fi | Проклятая метка в Exchange |96| 12+
Иследование Positive Technologies https://www.br-automation.com/downloads_br_productcatalogue/assets/1674823095245-en-original-1.0.pdf
— ИИ-апокалипсис. Илон Маск и более тысячи других известных людей призвали приостановить обучение систем искусственного…
— ИИ-апокалипсис. Илон Маск и более тысячи других известных людей призвали приостановить обучение систем искусственного…
📁⚙️ Полное руководство по основам Git
Из-за большого количества команд новичкам бывает сложно освоить Git. В этом руководстве мы расскажем обо всем, что вам нужно знать, чтобы приступить к работе с Git, начиная с создания первого репозитория и заканчивая слиянием веток. Помимо архитектуры Git рассмотрим принципы работы таких команд, как add, checkout, reset, commit, merge, rebase, cherry-pick, pull, push и tag.
🔗 Основной сайт
🔗 Зеркало
Из-за большого количества команд новичкам бывает сложно освоить Git. В этом руководстве мы расскажем обо всем, что вам нужно знать, чтобы приступить к работе с Git, начиная с создания первого репозитория и заканчивая слиянием веток. Помимо архитектуры Git рассмотрим принципы работы таких команд, как add, checkout, reset, commit, merge, rebase, cherry-pick, pull, push и tag.
🔗 Основной сайт
🔗 Зеркало
#mobile #pentest #bugbounty #practice
Пошаговая настройка лаборатории для анализа безопасности Android-приложений: гайд для начинающего багхантера.
Читать
Пошаговая настройка лаборатории для анализа безопасности Android-приложений: гайд для начинающего багхантера.
Читать
TrustedSec
Set Up an Android Hacking Lab for $0
A virtual Android device with root access has been set up for testing and analysis, enabling the use of Frida and Objection to identify security…
#learning #pentest
⚡️Ночная годнота для вас подъехала. Бесплатный курс по пентесту API. Тут больше нечего добавить — просто регистрируйтесь и учитесь современным техникам этичного взлома API.
https://www.apisecuniversity.com/courses/api-penetration-testing
⚡️Ночная годнота для вас подъехала. Бесплатный курс по пентесту API. Тут больше нечего добавить — просто регистрируйтесь и учитесь современным техникам этичного взлома API.
https://www.apisecuniversity.com/courses/api-penetration-testing
Apisecuniversity
API Penetration Testing Course | APIsec University
Learn about key topics to become an APIsec professional, API hacking techniques and how to uncover vulnerabilities and logic flaws in APIs.
#tools #pentest #redteam
🔧 Flan — легковесный сканер уязвимостей с открытым исходным кодом от Cloudflare, основанный на Nmap и Vulners. Он запускает Nmap локально внутри контейнера, позволяет отправлять результаты в облако и деплоить все это дело в Kubernetes
https://github.com/cloudflare/flan
🔧 Flan — легковесный сканер уязвимостей с открытым исходным кодом от Cloudflare, основанный на Nmap и Vulners. Он запускает Nmap локально внутри контейнера, позволяет отправлять результаты в облако и деплоить все это дело в Kubernetes
https://github.com/cloudflare/flan
Все о Security Champions в новой статье на Хабре
DevSecOps-инженер рассказывает, зачем команде разработчиков нужны Security Champions и чем они отличаются от AppSec-аналитиков. Также вы узнаете, какие бонусы принесёт компании идея Security Champions и как её внедрить.
Читать
DevSecOps-инженер рассказывает, зачем команде разработчиков нужны Security Champions и чем они отличаются от AppSec-аналитиков. Также вы узнаете, какие бонусы принесёт компании идея Security Champions и как её внедрить.
Читать
cyber-security.pdf
235.9 KB
#cybersecurity #career #security #redteam
Если кто-то вдруг пропустил, держите дорожную карту для специалиста по кибербезопасности, адаптированную под реалии 2023 года. Также обратите внимание на API Security из раздела «Лучшие практики».
Если кто-то вдруг пропустил, держите дорожную карту для специалиста по кибербезопасности, адаптированную под реалии 2023 года. Также обратите внимание на API Security из раздела «Лучшие практики».
#tip #bugbounty
Совет максимально прост, но может принести отличный профит. Всегда проверяйте, нет ли возможности зарегистрировать пользователя с правами администратора.
Совет максимально прост, но может принести отличный профит. Всегда проверяйте, нет ли возможности зарегистрировать пользователя с правами администратора.
#OSINT #tools
DorkSearch — веб-инструмент, который помогает вам в составлении Google-дорков. Обратите также внимание на блог DorkSearch — там много интересного о поиске и не только:
🔎 Unlocking ChatGPT: Advanced AI for Google Dorking & OSINT
🔎 Dorking: A Comprehensive Guide to Google Hacking
🔎 Beginner’s Guide to Hidden Data with Google Dorking
🔎 Future of OSINT: People Searching with ChatGPT
DorkSearch — веб-инструмент, который помогает вам в составлении Google-дорков. Обратите также внимание на блог DorkSearch — там много интересного о поиске и не только:
Please open Telegram to view this post
VIEW IN TELEGRAM
#mobile #pentest #bugbounty #tools
Хотите анализировать безопасность мобильных приложений, но не знаете с чего начать? Начните с перехвата трафика Android-устройства. Поможет вам в этом простой пошаговый гайд.
Хотите анализировать безопасность мобильных приложений, но не знаете с чего начать? Начните с перехвата трафика Android-устройства. Поможет вам в этом простой пошаговый гайд.
This media is not supported in your browser
VIEW IN TELEGRAM
#tools #recon
🖼 Знаете ли вы, что Nuclei поддерживает в качестве входных данных ASN и CIDR? Кропотливая работа с DNS-записями обычно приносит свои плоды. Так что вооружайтесь инструментами и вперед!
https://github.com/projectdiscovery/nuclei
https://github.com/projectdiscovery/nuclei
Please open Telegram to view this post
VIEW IN TELEGRAM
#tip #bugbounty #pentest
Простые, но действенные советы для тестирования веб-приложения на наличие SQL-инъекций. Как обычно, начинается все с выбора параметров для тестирования. Это может быть URL-запрос, тело запроса, HTTP-заголовки или Cookie. Подробности — под катом.👇
🧵Читать в Твиттере
🧵Читать в PingThread (если Твиттер не открывается)
Простые, но действенные советы для тестирования веб-приложения на наличие SQL-инъекций. Как обычно, начинается все с выбора параметров для тестирования. Это может быть URL-запрос, тело запроса, HTTP-заголовки или Cookie. Подробности — под катом.
🧵Читать в Твиттере
🧵Читать в PingThread (если Твиттер не открывается)
Please open Telegram to view this post
VIEW IN TELEGRAM
X (formerly Twitter)
Anton (@therceman) on X
Bug Bounty Hint
How to test for SQL injection
1) Select params for testing in:
🔹 URL query
🔹 POST body
🔹 Headers
🔹 Cookies
It can be any parameter. Typically, I test integer parameters first.
🧵 1/8
How to test for SQL injection
1) Select params for testing in:
🔹 URL query
🔹 POST body
🔹 Headers
🔹 Cookies
It can be any parameter. Typically, I test integer parameters first.
🧵 1/8