Нашли уязвимость LFI, но нет идей для дальнейших сценариев эксплуатации? Что ж, попробуйте использовать Remote File Inclusion.🔥
#tips #bugbounty #pentest
#tips #bugbounty #pentest
🚀 Как взламывать веб-приложения: гайд для начинающих.
📌Часть 1
💻 Типы веб-приложений
⚙️ Настройка для тестирования
🕷 RCE
🐞 SQLi
🐛 ХХЕ
😏 Небезопасная десериализация
🐜 XSS
📌Часть 2
🪳 SSRF
🐞 Business Logic Vulns
🪳 IDORs
🔞 Authentication Issues
🐜 CSRF
🕷 Directory Traversal
🦟 File Inclusion
#pentest #bugbounty
📌Часть 1
💻 Типы веб-приложений
⚙️ Настройка для тестирования
📌Часть 2
#pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Раскручиваем arbitrary file read до RCE в веб-приложении на flask: как с помощью уязвимости чтения файлов получить доступ к интерактивной консоли Python.
Читать
#practice #pentest #bugbounty
Читать
#practice #pentest #bugbounty
Хабр
Werkzeug: раскручиваем arbitrary file read до RCE в веб-приложении на flask
Flask, flask, flask... Что вообще представляет из себя Flask и с чем его едят? Flask - это микрофреймворк для создания веб-приложений на языке Python. Он предоставляет минимальный набор инструментов...
Очередная подборка новостей для этичного хакера:
⚡️ Представлен практический пример атаки с использованием домена .zip. В чем сыр-бор? 👇
В середине мая открылась свободная регистрация имен в доменных зонах .ZIP и .MOV. Эти TLD вошли в список из сотен коммерческих доменных зон, обслуживанием которых занимаются частные компании. Среди безопасников это сразу же вызвало опасения: кликабельные ссылки в мессенджерах и соцсетях, похожие на имена файлов, теоретически должны упростить кибератаки.
▫️Microsoft потребуется почти год, чтобы закончить исправление нового 0-day бага обхода Secure Boot
▫️В последнем выпуске Chrome 111 пользователи теперь могут переопределять заголовки ответов непосредственно на панели Network
▫️Алгоритм активации Windows XP удалось взломать
▫️Двухфакторная аутентификация станет обязательной в PyPI
▫️У сервиса Super VPN утекли более 360 млн записей
▫️PHDays 12 в Парке Горького | Взлом The Smashing Pumpkins | Судья сказал: хакер играл в Бога!: Security-новости от главреда секлаб
#news
В середине мая открылась свободная регистрация имен в доменных зонах .ZIP и .MOV. Эти TLD вошли в список из сотен коммерческих доменных зон, обслуживанием которых занимаются частные компании. Среди безопасников это сразу же вызвало опасения: кликабельные ссылки в мессенджерах и соцсетях, похожие на имена файлов, теоретически должны упростить кибератаки.
▫️Microsoft потребуется почти год, чтобы закончить исправление нового 0-day бага обхода Secure Boot
▫️В последнем выпуске Chrome 111 пользователи теперь могут переопределять заголовки ответов непосредственно на панели Network
▫️Алгоритм активации Windows XP удалось взломать
▫️Двухфакторная аутентификация станет обязательной в PyPI
▫️У сервиса Super VPN утекли более 360 млн записей
▫️PHDays 12 в Парке Горького | Взлом The Smashing Pumpkins | Судья сказал: хакер играл в Бога!: Security-новости от главреда секлаб
#news
Please open Telegram to view this post
VIEW IN TELEGRAM
Есть здесь те, кто участвовал в киберфестивале Positive Hack Days 12? Поделитесь впечатлениями. Что нового узнали? Как вам Standoff?
От произвольного перенаправления до XSS: пример отраженной XSS в эндпоинте выхода Ellucian Ethos Identity CAS с обходом WAF.
Читать
#writeup #bugbounty #pentest
Читать
#writeup #bugbounty #pentest
Medium
Reflected Cross-Site Scripting Vulnerability in Ellucian Ethos Identity CAS Logout Page
By: Andrew Schoonmaker and Clint Kehr
Какие только не придумают требования к паролям для усложнения жизни злоумышленникам, вот только рост вычислительной мощности CPU и GPU идет на шаг впереди. А какие самые экстравагантные требования к генерации паролей видели вы? Ждем ответы в комментариях.👇
#security
#security
Эволюция уязвимостей в приложениях для Android: как эволюционировали уязвимости мобильных приложений, что на это влияло, какие уязвимости актуальны сейчас и какие ждут нас в будущем.
Читать
#mobile #pentest
Читать
#mobile #pentest
(не)Уникальный опыт
Эволюция уязвимостей в приложениях для Android
История развития приложений для Android прошла несколько заметных этапов: небольшие приложения, работающие локально,
клиент-серверные приложения, экосистемы приложений и суперапы (super-app). Каждый …
клиент-серверные приложения, экосистемы приложений и суперапы (super-app). Каждый …
100 советов багхантеру: почти все нетехнические, но поверьте, что-то в них есть.
🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)
#pentest #bugbounty #tips
🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)
#pentest #bugbounty #tips
Twitter
14/ Budget time into your week specifically for hacking
15/ Give yourself a no-bug time limit. I do 3 hours.
16/ Go back to old dupes and see if you can still reproduce.
17/ Look for “+2” in your reputation log to find dupes that should be now.
18/Ask for…
15/ Give yourself a no-bug time limit. I do 3 hours.
16/ Go back to old dupes and see if you can still reproduce.
17/ Look for “+2” in your reputation log to find dupes that should be now.
18/Ask for…
😈Открываем чит-коды технического интервью на позицию в сфере Data Science.
7 июня в прямом эфире разберем основные математические задачи на собеседованиях в крупные российские и международные компании.
👉Зарегистрироваться: https://proglib.io/w/f2a10b35
Приглашенный спикер: Иван Строков – ML инженер в Yelp, запустивший отдел Data Science для pikabu.ru
🚀 На вебинаре:
1. Обсудим задачи из реальных интервью в российские и европейские компании
2. Решим задачи на матрицы и вероятности
3. Научимся быстро тестировать статистические гипотезы для А/Б тестов
4. Обсудим, какая математика лежит под капотом ML алгоритмов
5. Узнаем, что делать, если математика становится слишком сложной
👉Зарегистрироваться: https://proglib.io/w/f2a10b35
7 июня в прямом эфире разберем основные математические задачи на собеседованиях в крупные российские и международные компании.
👉Зарегистрироваться: https://proglib.io/w/f2a10b35
Приглашенный спикер: Иван Строков – ML инженер в Yelp, запустивший отдел Data Science для pikabu.ru
🚀 На вебинаре:
1. Обсудим задачи из реальных интервью в российские и европейские компании
2. Решим задачи на матрицы и вероятности
3. Научимся быстро тестировать статистические гипотезы для А/Б тестов
4. Обсудим, какая математика лежит под капотом ML алгоритмов
5. Узнаем, что делать, если математика становится слишком сложной
👉Зарегистрироваться: https://proglib.io/w/f2a10b35
Какие знания в области математики требуются специалистам в Machine Learning и Data Science?
Валентин Рябцев, сооснователь и CPO Wale. ai, рассказал о своем карьерном пути, о том как развивать математическое мышление и как улучшать качество продукта с помощью математических методов.
Рекомендуем к просмотру – https://www.youtube.com/watch?v=KhUXzcrAk0M
Валентин Рябцев, сооснователь и CPO Wale. ai, рассказал о своем карьерном пути, о том как развивать математическое мышление и как улучшать качество продукта с помощью математических методов.
Рекомендуем к просмотру – https://www.youtube.com/watch?v=KhUXzcrAk0M
YouTube
Вебинар: Какие знания в области математики требуются специалистам в Machine Learning и Data Science?
Сооснователь и CPO Wale. ai расскажет о своем карьерном пути, о том как развивать математическое мышление и как улучшать качество продукта с помощью математических методов.
Программа:
1. Математика как основа ИИ: почему без математики невозможна эффективная…
Программа:
1. Математика как основа ИИ: почему без математики невозможна эффективная…
Поиск и эксплуатация RCE в VSCode
Обзор, который в очередной раз доказывает, к чему может привести кропотливое изучение функционала приложения.
Читать
#writeup #pentest #bugbounty
Обзор, который в очередной раз доказывает, к чему может привести кропотливое изучение функционала приложения.
Читать
#writeup #pentest #bugbounty
Ammar's Blog
VSCode Remote Code Execution advisory
My blog, mostly about programming
🔧fq — инструмент для работы с бинарными и текстовыми форматами, который объединяет в себе функционал jq, hexdump, dd и gdb.
https://github.com/wader/fq
#tools #pentest
https://github.com/wader/fq
#tools #pentest
GitHub
GitHub - wader/fq: jq for binary formats - tool, language and decoders for working with binary and text formats
jq for binary formats - tool, language and decoders for working with binary and text formats - wader/fq
Алексей Колосков, DevOps/Cloud-инженер в Hilbert Team, делится опытом построения DevSecOps-пайплайна и особенностями концепции Shift Left.
Читать
#devsecops #practice
Читать
#devsecops #practice
Хабр
Как превратить DevOps-пайплайн в DevSecOps-пайплайн. Обзор концепции Shift Left
Привет, Хабр! Меня зовут Алексей Колосков, я DevOps/Cloud-инженер в Hilbert Team. Вместе с моим коллегой Михаилом Кажемским в этой статье мы расскажем об особенностях DevSecOps-пайплайна и концепции...
По мотивам Standoff 11: как вымышленный IT-отдел авиакомпании Heavy Logistics внедрял PT Application Inspector, а команда красных пыталась его обойти.
Читать
#security #pentest
Читать
#security #pentest
Хабр
По горячим следам: как обходили PT Application Inspector на Standoff 11
Недавно завершилась одиннадцатая кибербитва Standoff, проходившая в рамках Positive Hack Days 12 в московском Парке Горького . C 17 по 20 мая 22 команды белых хакеров атаковали государство F —...
Please open Telegram to view this post
VIEW IN TELEGRAM
Метод захвата данных между доменами в ситуациях, когда полноценная XSS-атака невозможна
Anonymous Quiz
55%
Cross-site request forgery (CSRF)
14%
Dangling markup injection
15%
Clickjacking
16%
Посмотреть результаты