Обход аутентификации, загрузка и перезапись произвольных файлов, — вот какие баги можно найти, если не опускать руки, когда твой баг репорт не принимают и/или снижают уровень критичности.
Профит — 23000💲.
#bugbounty #writeup #pentest
Профит — 23000💲.
#bugbounty #writeup #pentest
Medium
23000$ for Authentication Bypass & File Upload & Arbitrary File Overwrite
How I found Authentication Bypass >> File upload vulnerability >> Arbitrary File Overwrite and how I managed I found the path of the file…
Вы работаете на Kali Linux?
Anonymous Poll
29%
Да, это лучший дистрибутив
31%
Нет, у меня Debian/Ubuntu/Centos/Manjaro/напишу в комментариях
9%
Ненавижу Linux. Работаю на Windows
31%
Посмотреть результаты
Если вы не видите смысла использовать ChatGPT в работе, вы сильно заблуждаетесь. Известный белый хакер rez0 делится идеальными задачами и полезными юзкейсами ChatGPT.
Читать
Ставь 🔥 — если используешь ChatGPT в работе,
🥱 — если и без него все норм
#bestpractices #recon #bugbounty #pentest
Читать
Ставь 🔥 — если используешь ChatGPT в работе,
🥱 — если и без него все норм
#bestpractices #recon #bugbounty #pentest
Многие используют Nmap в повседневной деятельности, но не все делают это правильно и с максимальной эффективностью. Ловите гайд, который восполнит существующие пробелы и научит использовать правильные флаги.
Читать
#tools #redteam #pentest #bestpractices
Читать
#tools #redteam #pentest #bestpractices
nixCraft
Nmap Command Examples For Linux Sys/Network Admins
Nmap command examples and tutorials to scan a host/network/IP to find out the vulnerable points in the hosts and secure the system on Linux.
Согласно OWASP Top 10:2021, уязвимостью веб-приложения, которая позволяет атакующему обойти авторизацию и получить доступ к конфиденциальной информации или выполнить функции, доступные только привилегированным пользователям, является
Anonymous Quiz
10%
A04 Insecure Design
63%
A01 Broken Access Control
9%
A05 Security Misconfiguration
18%
Посмотреть результаты
Простые, но эффективные техники сбора поддоменов в 2023 году: на заметку этичному хакеру.
Читать
#tools #recon
Читать
#tools #recon
Labs Detectify
Subdomain reconnaissance: enhancing a hacker's EASM - Labs Detectify
This blog provides a few advanced subdomain reconnaissance techniques to enhance an ethical hacker’s EASM techniques.
Василий Буров, Senior Testing Engineer в департаменте Security Services «Лаборатории Касперского», демонстрирует на практике распространенные баги в Windows-инфраструктуре, которые часто приводят к компрометации всей сети.
Читать
#pentest
Читать
#pentest
Хабр
А у вас в окнах дырки! Пентесты Windows-приложений: кейсы, инструменты и рекомендации
Привет, Хабр! Меня зовут Василий Буров, я — Senior Testing Engineer в департаменте Security Services «Лаборатории Касперского» и в общей сложности более 20 лет тестирую программное обеспечение. В том...
Простой совет, который подчеркивает важность анализа JavaScript-файлов и может дать большой профит.
#bugbounty #tip
#bugbounty #tip
Многие багхантеры знают, что в веб-приложениях на базе ASP.NET (под капотом C#) искать уязвимости немного сложнее, чем в других платформах/языках/фреймворках. Если не согласны, ждем ваши аргументы в комментариях. Это все к чему? А к тому, что исследования подобные этому, представляют большую ценность. Читайте и учитесь искать баги в ASP.NET приложениях.👇
Читать
#writeup #pentest #bugbounty
Читать
#writeup #pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Уязвимость, которая позволяет отправлять запросы от имени скомпрометированного сервера к внешним или внутренним ресурсам
Anonymous Quiz
25%
Cross-site request forgery (CSRF)
8%
XXE injection
57%
Server-side request forgery (SSRF)
10%
Server-side template injection (SSTI)
Методы обнаружения и обхода WAF при эксплуатации SQL-инъекций, которые все еще работают в 2023 году.
Читать
#bugbounty #tips #pentest
Читать
#bugbounty #tips #pentest
Stratum Security Blog
SQLi - WAF Detection & Bypass Techniques That Still Work in 2023
There are many techniques out there to detect and bypass WAFs and the goal of this blog isn't to show or explain all of them - just to share a few techniques that I've found still work well in 2023. Although there are more advanced techniques out there, these…
Please open Telegram to view this post
VIEW IN TELEGRAM
Уязвимость, при которой веб-приложение использует введенные пользователем данные для прямого доступа к объектам (т.е. позволяет получить несанкционированный доступ к веб-страницам или файлам по прямой ссылке)
Anonymous Quiz
27%
Cross-site request forgery (CSRF)
13%
Web cache poisoning
52%
Insecure direct object references (IDOR)
7%
Посмотреть результаты
Mobile Vulnerability Reward Program: Google запустила программу Bug Bounty для своих Android-приложений
Участвуют следующие приложения:
📱Google Play Services
📱AGSA
📱Google Chrome
📱Google Cloud
📱Gmail
📱Chrome Remote Desktop
Подробнее
#news #bugbounty
Участвуют следующие приложения:
📱Google Play Services
📱AGSA
📱Google Chrome
📱Google Cloud
📱Gmail
📱Chrome Remote Desktop
Подробнее
#news #bugbounty
Хабр
Google запустила программу Bug Bounty для своих Android-приложений
Google объявила о запуске программы Bug Bounty для своих Android-приложений. Компания считает, что инициатива поможет ускорить процесс поиска ошибок и доработки ПО. Инициатива получила название...
29 мая приглашаем на вебинар всех, кому интересна тема AI, Machine learning и Data Science!
👉 Зарегистрироваться: https://proglib.io/w/0a0b7421
Что будем обсуждать?
– Математика как основа ИИ: Почему без математики невозможна эффективная работа в области AI
– На что обращают внимание при найме ML/AI разработчиков: нужно ли фундаментальное образование?
– Примеры математических методов применяемых в AI / Data Science
– Ключевые роли и компетенции в AI команде: Data Engineer, ML Engineer, Data Scientist, Data Analyst
Кто спикер?
👨💻 Валентин Рябцев – Co-founder, CPO Wale, ex-руководитель глобальных ИТ-инноваций в Louis Dreyfus (Франция)
Регистрируйтесь, чтобы не пропустить прямой эфир https://proglib.io/w/0a0b7421
👉 Зарегистрироваться: https://proglib.io/w/0a0b7421
Что будем обсуждать?
– Математика как основа ИИ: Почему без математики невозможна эффективная работа в области AI
– На что обращают внимание при найме ML/AI разработчиков: нужно ли фундаментальное образование?
– Примеры математических методов применяемых в AI / Data Science
– Ключевые роли и компетенции в AI команде: Data Engineer, ML Engineer, Data Scientist, Data Analyst
Кто спикер?
👨💻 Валентин Рябцев – Co-founder, CPO Wale, ex-руководитель глобальных ИТ-инноваций в Louis Dreyfus (Франция)
Регистрируйтесь, чтобы не пропустить прямой эфир https://proglib.io/w/0a0b7421
Команда GitLab выпустила патч, который закрывает уязвимость типа path traversal
Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных данных, включая код проприетарного ПО, учетные данные пользователя, токены, файлы и так далее.
И это в 2023 году, когда все path traversal уже переэксплуатировали... В общем, обновляйтесь до GitLab Community Edition (CE) / Enterprise Edition (EE) 16.0.1.
#CVE #bugbounty #pentest #news
Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных данных, включая код проприетарного ПО, учетные данные пользователя, токены, файлы и так далее.
И это в 2023 году, когда все path traversal уже переэксплуатировали... В общем, обновляйтесь до GitLab Community Edition (CE) / Enterprise Edition (EE) 16.0.1.
#CVE #bugbounty #pentest #news
XAKEP
GitLab выпустила экстренный патч для критической уязвимости
Разработчики GitLab выпустили срочной обновление безопасности (версия 16.0.1) для устранения критической проблемы, набравшей 10 баллов из 10 возможных по шкале оценки уязвимостей CVSS. Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных…
Эй, хакеры! Напишите в комментариях самый крутой баг, который вы когда-либо нашли. И если получили вознаграждение, то сколько 💰💰💰? ⬇️
positive-research-2023-rus.pdf
8.7 MB
Positive Research 2023: сборник исследований по практической безопасности
▫️Топ–10 самых громких атак 2022 года
▫️Государственные организации — цель No 1
▫️Недопустимые события для госучреждений: реальные примеры
▫️Атаки на пользователей: масштабные утечки данных
▫️Кто и как атакует российские организации
▫️Уязвимости ради безопасности. Результативная стратегия управления уязвимостями
#research #hacking
▫️Топ–10 самых громких атак 2022 года
▫️Государственные организации — цель No 1
▫️Недопустимые события для госучреждений: реальные примеры
▫️Атаки на пользователей: масштабные утечки данных
▫️Кто и как атакует российские организации
▫️Уязвимости ради безопасности. Результативная стратегия управления уязвимостями
#research #hacking