#security
Набор практических рекомендаций для комплексной защиты веб-приложений.
https://proglib.io/w/7e59f217
Набор практических рекомендаций для комплексной защиты веб-приложений.
https://proglib.io/w/7e59f217
DEV Community
Web Application Security Checklist (2021)
The original post can be read here. Overview It's scary out there for developers! One mis...
#bugbounty
В практике поиска багов нельзя исключать слепое выполнение кода в контексте вашей атаки. Так, если рассматривать XSS-атаку, то может возникнуть ситуация, когда вы не узнаете, удалось успешно встроить JavaScript в код страницы или нет.
В данном случае вредоносный код будет выполнен только тогда, когда атакуемый пользователь посетит страницу. Для упрощения эксплуатации данной атаки, которая ещё называется Blind-XSS, существует ряд инструментов, но самым популярным является XSS Hunter. Его также может развернуть локально.
Глубже разобраться с Blind-XSS и XSS Hunter поможет данная статья: https://proglib.io/w/0147f7e1
В практике поиска багов нельзя исключать слепое выполнение кода в контексте вашей атаки. Так, если рассматривать XSS-атаку, то может возникнуть ситуация, когда вы не узнаете, удалось успешно встроить JavaScript в код страницы или нет.
В данном случае вредоносный код будет выполнен только тогда, когда атакуемый пользователь посетит страницу. Для упрощения эксплуатации данной атаки, которая ещё называется Blind-XSS, существует ряд инструментов, но самым популярным является XSS Hunter. Его также может развернуть локально.
Глубже разобраться с Blind-XSS и XSS Hunter поможет данная статья: https://proglib.io/w/0147f7e1
#career
История о карьерном пути Дмитрия Гадаря в сфере ИБ
На момент написания статьи Дмитрий руководил командой из четырех управлений в Tinkoff, которые отвечают за противодействие внутреннему мошенничеству, реагирование на инциденты, инфраструктуру ИБ и compliance, а также application security.
До этого Дмитрий работал инженером в системных интеграторах и криптоаналитиком в компании ЛАНКрипто. Получив опыт в разработке и внедрении систем, перешел в банки. За время своей карьеры прошел все уровни корпоративной иерархии, начав с самого первого — студента, работавшего в буквальном смысле за еду.
https://proglib.io/w/525b9a73
История о карьерном пути Дмитрия Гадаря в сфере ИБ
На момент написания статьи Дмитрий руководил командой из четырех управлений в Tinkoff, которые отвечают за противодействие внутреннему мошенничеству, реагирование на инциденты, инфраструктуру ИБ и compliance, а также application security.
До этого Дмитрий работал инженером в системных интеграторах и криптоаналитиком в компании ЛАНКрипто. Получив опыт в разработке и внедрении систем, перешел в банки. За время своей карьеры прошел все уровни корпоративной иерархии, начав с самого первого — студента, работавшего в буквальном смысле за еду.
https://proglib.io/w/525b9a73
Хабр
От джуниора до директора: байки одного безопасника
На старте карьеры кажется, что более успешные коллеги далеко пошли, потому что с самого начала знали, в каком направлении нужно прикладывать усилия. Но со времен...
#recon #bugbounty #pentest
При проведении тестирования на проникновение или участии в программах Bug Bonty у вас всегда есть определенный набор целей. Будь то один домен, набор доменов с поддоменами, диапазон IP-адресов, либо мобильное приложение. Так или иначе этап разведки должен быть разным исходя из вашего скоупа.
Harsh Bothra предложил методологию разведки на основе скоупа, которая позволит вам:
- сэкономить много времени
- легко понять, что именно искать
- автоматизировать рабочий процесс разведки
- предостеречься от выхода за рамки скоупа
https://proglib.io/w/e688be06
При проведении тестирования на проникновение или участии в программах Bug Bonty у вас всегда есть определенный набор целей. Будь то один домен, набор доменов с поддоменами, диапазон IP-адресов, либо мобильное приложение. Так или иначе этап разведки должен быть разным исходя из вашего скоупа.
Harsh Bothra предложил методологию разведки на основе скоупа, которая позволит вам:
- сэкономить много времени
- легко понять, что именно искать
- автоматизировать рабочий процесс разведки
- предостеречься от выхода за рамки скоупа
https://proglib.io/w/e688be06
Infrastructure_as_Code_2E-ER_Linode.pdf
16.2 MB
#book
Infrastructure as Code: Dynamic Systems for the Cloud Age 2nd Edition (2021)
Автор: Kief Morris
В этой практической книге автор покажет вам, как эффективно использовать принципы, практики и шаблоны, разработанные командами DevOps для управления инфраструктурой облачной эпохи.
Обновленная версия книги идеально подходит для системных администраторов, инженеров инфраструктуры, разработчиков программного обеспечения, руководителей групп и архитекторов, демонстрирует, как можно использовать облачные технологии и технологии автоматизации, чтобы вносить изменения легко, безопасно, быстро и ответственно.
Вы узнаете, как определять все как код и применять методы проектирования и разработки программного обеспечения для построения вашей системы из небольших, слабо связанных частей.
Infrastructure as Code: Dynamic Systems for the Cloud Age 2nd Edition (2021)
Автор: Kief Morris
В этой практической книге автор покажет вам, как эффективно использовать принципы, практики и шаблоны, разработанные командами DevOps для управления инфраструктурой облачной эпохи.
Обновленная версия книги идеально подходит для системных администраторов, инженеров инфраструктуры, разработчиков программного обеспечения, руководителей групп и архитекторов, демонстрирует, как можно использовать облачные технологии и технологии автоматизации, чтобы вносить изменения легко, безопасно, быстро и ответственно.
Вы узнаете, как определять все как код и применять методы проектирования и разработки программного обеспечения для построения вашей системы из небольших, слабо связанных частей.
#security
Базовая и независимая от языка методология проверки безопасности кода.
https://proglib.io/w/bb14b34e
Базовая и независимая от языка методология проверки безопасности кода.
https://proglib.io/w/bb14b34e
flawed.net.nz
Language Agnostic Security Code Review
Hunting through code for potential security issues generally requires having a very in-depth understanding of the language being reviewed. Most competent code reviewers will have some kind of background or ability to write complex programs in their chosen…
Курс математики для анализа данных от Proglib и МГУ
Мы предлагаем без отрыва от работы освоить математику для анализа данных.
✅ онлайн-встречи с преподавателями из МГУ в Zoom
✅ подойдет всем, кто хочет вспомнить высшую математику или подготовиться к школе анализа данных Яндекса
🕗 длительность 5 месяцев, по 2 раза в неделю
💸 от 5 666 руб. в месяц.
Мы дарим промокод на скидку 10% до 2 марта — HACKER
Подробнее о курсе — тут
Мы предлагаем без отрыва от работы освоить математику для анализа данных.
✅ онлайн-встречи с преподавателями из МГУ в Zoom
✅ подойдет всем, кто хочет вспомнить высшую математику или подготовиться к школе анализа данных Яндекса
🕗 длительность 5 месяцев, по 2 раза в неделю
💸 от 5 666 руб. в месяц.
Мы дарим промокод на скидку 10% до 2 марта — HACKER
Подробнее о курсе — тут
#pentest
Джеймс Кеттл из PortSwigger представил топ-10 техник взлома безопасности веб-приложений 2020 года.
https://proglib.io/w/680312b7
Джеймс Кеттл из PortSwigger представил топ-10 техник взлома безопасности веб-приложений 2020 года.
https://proglib.io/w/680312b7
PortSwigger Research
Top 10 web hacking techniques of 2020
Welcome to the Top 10 (novel) Web Hacking Techniques of 2020, our annual community-powered effort to identify the must-read web security research released in the previous year. Over the past few weeks
🕵 Обучение кибербезопасности: как освоить популярную профессию?
Рассказываем о самом быстром способе стать специалистом по информационной безопасности и этичным хакером – пойти учиться.
https://proglib.io/sh/JXYboDQ26B
Рассказываем о самом быстром способе стать специалистом по информационной безопасности и этичным хакером – пойти учиться.
https://proglib.io/sh/JXYboDQ26B
#pentest #bugbounty
Гайд по поиску уязвимости External Entity Injection (XXE): https://proglib.io/w/375acf14
Гайд по поиску уязвимости External Entity Injection (XXE): https://proglib.io/w/375acf14
Bugcrowd
How to Find XXE Bugs: Severe, Missed and Misunderstood | @Bugcrowd
Introduction Every time I see an opportunity to attempt an External Entity Injection (XXE) attack I get excited. In my experience it has a high chance of success when compared to many other vulnerability types. Many of the XXE exploitation methods require…
#security
Разбираемся с HTTP Cookie, свойствами файлов Cookie и мерами безопасности, связанными с файлами Cookie.
https://proglib.io/w/17b7e047
Разбираемся с HTTP Cookie, свойствами файлов Cookie и мерами безопасности, связанными с файлами Cookie.
https://proglib.io/w/17b7e047
souvikinator.netlify.app
Know The Web: HTTP Cookie 🍪
An HTTP cookie (also called web cookie, Internet cookie, browser cookie, or simply cookie) is a small piece of data stored on the user's computer by the web browser while browsing a website. Learn how to create cookie from client side using JavaScript and…
Мы создали каналы, посвящённые тестированию и devops’у. Подписывайтесь, будет интересно.
Telegram
Библиотека тестировщика | QA, тестирование, quality assurance, manual testing, autotesting, ручное тестирование, автотесты
Все самое полезное для тестировщика в одном канале.
По рекламе: @proglib_adv
Учиться у нас: https://proglib.io/w/12538d6f
Работать у нас: https://job.proglib.io/
Для обратной связи: @proglibrary_feeedback_bot
По рекламе: @proglib_adv
Учиться у нас: https://proglib.io/w/12538d6f
Работать у нас: https://job.proglib.io/
Для обратной связи: @proglibrary_feeedback_bot
#pentest #bugbounty
Вика Бегенчева из Redmadrobot рассказывает простыми словами об основах тестирования безопасности веб-приложений.
https://proglib.io/w/53946426
Вика Бегенчева из Redmadrobot рассказывает простыми словами об основах тестирования безопасности веб-приложений.
https://proglib.io/w/53946426
Хабр
«Осторожно, печеньки!»: советы начинающим тестировщикам в сфере безопасности
Привет, меня зовут Вика Бегенчева, я QA-инженер в Redmadrobot. Я расскажу, как злоумышленники крадут наши данные, и что можно сделать, чтобы от этого защититься.
#bugbounty #pentest
Подборка полезных советов, которые могут помочь найти свою первую ошибку или уязвимость.
https://proglib.io/w/a3d2b56d
Подборка полезных советов, которые могут помочь найти свою первую ошибку или уязвимость.
https://proglib.io/w/a3d2b56d
YouTube
How to Find Your First Bug
I'm back! I have just handed in my PhD (not a dr yet, still need to have my viva), and I can finally get back to making weekly videos. I wanted to come back with a bang, so here are my top tips on how to find your first bug and my recommendations if you're…
#tip #recon
Для удобного графического представления результатов сканирования с помощью утилиты Nmap можно использовать инструмент nmap-bootstrap-xsl.
Читать подробнее в статье
Для удобного графического представления результатов сканирования с помощью утилиты Nmap можно использовать инструмент nmap-bootstrap-xsl.
Читать подробнее в статье
#mobile #pentest #ios
Тестирование безопасности iOS-приложений
Статья будет полезна для начинающих исследователей безопасности мобильных приложений под iOS и тех, кто хочет разобраться, как все устроено изнутри.
https://proglib.io/w/28cf806d
Тестирование безопасности iOS-приложений
Статья будет полезна для начинающих исследователей безопасности мобильных приложений под iOS и тех, кто хочет разобраться, как все устроено изнутри.
https://proglib.io/w/28cf806d
Хабр
Безопасность iOS-приложений: гайд для новичков
Привет! Меня зовут Гриша, я работаю application security инженером в компании Wrike и отвечаю за безопасность наших мобильных приложений. В этой статье я расскаж...