🌵 Мексиканская перестрелка: какую IT-профессию выбрать джуну в 2023 году, чтобы зарабатывать $100кк в наносек
В этой статье мы рассмотрим несколько перспективных IT-направлений, которые приблизят вас к заветным цифрам на вашем банковском счете.
🔗 Основной сайт
🔗 Зеркало
В этой статье мы рассмотрим несколько перспективных IT-направлений, которые приблизят вас к заветным цифрам на вашем банковском счете.
🔗 Основной сайт
🔗 Зеркало
Обход CSP через DOM clobbering
Предположим, вы нашли HTML-инъекцию, но исследуемое веб-приложение защищено с помощью CSP. Еще не все потеряно, ведь на каждую технику защиты есть метод обхода. Это не всегда работает, но знать об этих методах однозначно стоит.
Читать
Предположим, вы нашли HTML-инъекцию, но исследуемое веб-приложение защищено с помощью CSP. Еще не все потеряно, ведь на каждую технику защиты есть метод обхода. Это не всегда работает, но знать об этих методах однозначно стоит.
Читать
💭 Эй, хакеры. Помните свой самый первый баг? Это было что-то простое или сразу критическая server-side уязвимость? Ждем в комментариях 👇
Очередная подборка новостей для этичного хакера:
▫️ Опубликовано исследование о серьезной уязвимости в ПО для реестров доменных имен в таких зонах, как .ai, .ms и .td.
Уязвимость в обработчике XML-запросов позволяла перехватить контроль над целой доменной зоной и, например, менять записи для существующих доменных имен / создавать новые.
▫️ Из чего состоит Malware-as-a-Service: в новых публикациях эксперты «Лаборатории Касперского» описывают сервисы malware-as-a-service и анализируют вредоносное ПО для кражи криптовалют
▫️ Представлен релиз Kali Linux 2023.2 (Hyper-V & PipeWire)
▫️ ИБ-эксперт под ником Sh1ttyKids продемонстрировал способ выявления реальных IP-адресов серверов Tor
▫️ Критическая уязвимость в MOVEit Transfer наделала много шума
▫️ Хакеры выкладывают вредоносное ПО на GitHub, выдавая ее за эксплоиты: не открытие, но всегда надо проверять перед запуском
🌐 США колдуют с НЛО | Сисадминам придёт конец | Стивен Хокинг оказался прав: security-новости от главреда секлаб
#news
▫️ Опубликовано исследование о серьезной уязвимости в ПО для реестров доменных имен в таких зонах, как .ai, .ms и .td.
Уязвимость в обработчике XML-запросов позволяла перехватить контроль над целой доменной зоной и, например, менять записи для существующих доменных имен / создавать новые.
▫️ Из чего состоит Malware-as-a-Service: в новых публикациях эксперты «Лаборатории Касперского» описывают сервисы malware-as-a-service и анализируют вредоносное ПО для кражи криптовалют
▫️ Представлен релиз Kali Linux 2023.2 (Hyper-V & PipeWire)
▫️ ИБ-эксперт под ником Sh1ttyKids продемонстрировал способ выявления реальных IP-адресов серверов Tor
▫️ Критическая уязвимость в MOVEit Transfer наделала много шума
▫️ Хакеры выкладывают вредоносное ПО на GitHub, выдавая ее за эксплоиты: не открытие, но всегда надо проверять перед запуском
#news
Please open Telegram to view this post
VIEW IN TELEGRAM
Простые, но важные советы, которые помогут стать «хорошим» пентестером и избежать неприятностей. Вдогонку автор делится несколькими байками о том, в какие абсурдные ситуации можно попасть, нарушая правила.
Читать
#tips #pentest
Читать
#tips #pentest
Хабр
Информационная безопасность — Защита данных / Хабр
О том, как мы защищаем свою информацию — от взлома, повреждения, фишинга и т.д. Новости мира anti-virus, anti-spam, anti-spy и т.д. Личные впечатления, опыт, мнения.
30 инструментов мониторинга Linux-системы, которые должен знать каждый сисадмин
К ИБ это имеет не так много отношения, но почему бы не разбавить контент рубрикой #полезнознать, ведь у нас тут больше линуксоидов собралось (см. опрос про Kali Linux).
Ставь 👍, если тебе заходят подобные материалы
🤔, если тебе это не интересно
#practice #tools
К ИБ это имеет не так много отношения, но почему бы не разбавить контент рубрикой #полезнознать, ведь у нас тут больше линуксоидов собралось (см. опрос про Kali Linux).
Ставь 👍, если тебе заходят подобные материалы
🤔, если тебе это не интересно
#practice #tools
Встречали когда нибудь веб-приложения под управлением Symfony в ходе пентеста? А различные *dev* файлы проверяли? Поверьте, там может быть очень много интересного.
#bugbounty #pentest #tips
#bugbounty #pentest #tips
Объемный гайд по написанию bash-скриптов
Перед вами руководство для начинающих пользователей Linux / системных администраторов и всех, кто изучает Linux или информатику.
#learning #unix
Перед вами руководство для начинающих пользователей Linux / системных администраторов и всех, кто изучает Linux или информатику.
#learning #unix
Web Cache Poisoning на практике
Сложность технологических стеков постоянно приводит к неожиданному поведению, которым можно злоупотреблять для проведения атак с отравлением кеша, в связи с чем хорошо бы знать их особенности.
Автор статьи описал методы, которые он использовал для выявления более чем 70 уязвимостей в рамках багбаунти-программ, связанных с отравлением кеша.
#tips #bugbounty #pentest
Сложность технологических стеков постоянно приводит к неожиданному поведению, которым можно злоупотреблять для проведения атак с отравлением кеша, в связи с чем хорошо бы знать их особенности.
Автор статьи описал методы, которые он использовал для выявления более чем 70 уязвимостей в рамках багбаунти-программ, связанных с отравлением кеша.
#tips #bugbounty #pentest
Многие люди лучше воспринимают визуальную информацию. Что ж, ловите серию инфографики на различные темы, связанные как с ИТ, так и с ИБ. Там вам и про уязвимости, и про фундаментальные основы веба, и про многое другое.
#fundamentals #easy
#fundamentals #easy
Внедрение внешнего объекта XML (XXE) — не самая распространенная, но зачастую критическая уязвимость. Она позволяет вмешиваться в обработку XML-данных веб-приложением.
Знаете ли вы, что кроме извлечения файлов, XXE можно использовать для выполнения SSRF-атак, скрытой эксфильтрации данных и извлечения данных с помощью сообщений об ошибках.
Подробнее
#вопросы_для_самопроверки
Знаете ли вы, что кроме извлечения файлов, XXE можно использовать для выполнения SSRF-атак, скрытой эксфильтрации данных и извлечения данных с помощью сообщений об ошибках.
Подробнее
#вопросы_для_самопроверки
portswigger.net
What is XXE (XML external entity) injection? Tutorial & Examples | Web Security Academy
In this section, we'll explain what XML external entity injection is, describe some common examples, explain how to find and exploit various kinds of XXE ...
Введение в разрешения в Android: что это такое, как с ними работать, а главное, какие ошибки могут возникнуть и как их не допустить.
Читать
#mobile #pentest #bugbounty
Читать
#mobile #pentest #bugbounty
Хабр
Permissions в Android: как не допустить ошибок при разработке
Всем привет! На связи Юрий Шабалин, ведущий архитектор Swordfish Security и генеральный директор Стингрей Технолоджиз. Эта статья написана в соавторстве с Android-разработчиком Веселиной Зацепиной (...
✍️ «Библиотека программиста» находится в поиске переводчика технических статей
Обязанности
• Перевод технических статей, документации и руководств с английского на русский язык.
• Редактирование и корректура переведенных текстов для обеспечения высокого качества и своевременной доставки переводов.
Что значит редактирование? Просто так взять DeepL и слово в слово перевести статью не получится?
• Не получится. Как правило, 10–40% текста — «вода». Переводчик должен убрать все лишнее и оставить главное, чтобы читатель не тратил время на чтение «забавной истории из жизни моего питомца, который внес неоценимый вклад в написание данного материала».
Мы предлагаем
• Удаленку.
• Официальное трудоустройство.
• Своевременную оплату за выполненную работу.
➡️ Заполнить анкету ⬅️
Я хорошо программирую, но пишу «так себе». Что делать?
Если вы хорошо программируете, но навыки письма немного отстают, пройдите наш бесплатный курс на Степике «Статьи для IT: как объяснять и распространять значимые идеи».
Обязанности
• Перевод технических статей, документации и руководств с английского на русский язык.
• Редактирование и корректура переведенных текстов для обеспечения высокого качества и своевременной доставки переводов.
Что значит редактирование? Просто так взять DeepL и слово в слово перевести статью не получится?
• Не получится. Как правило, 10–40% текста — «вода». Переводчик должен убрать все лишнее и оставить главное, чтобы читатель не тратил время на чтение «забавной истории из жизни моего питомца, который внес неоценимый вклад в написание данного материала».
Мы предлагаем
• Удаленку.
• Официальное трудоустройство.
• Своевременную оплату за выполненную работу.
➡️ Заполнить анкету ⬅️
Я хорошо программирую, но пишу «так себе». Что делать?
Если вы хорошо программируете, но навыки письма немного отстают, пройдите наш бесплатный курс на Степике «Статьи для IT: как объяснять и распространять значимые идеи».
🔧 reconFTW — комбайн для этичного хакера, который автоматизирует весь процесс разведки.
Он различными способами брутит поддомены (пассивный способ, перебор, перестановки, certificate transparency, парсинг исходного кода, аналитика, DNS-записи) и тестирует цели на подверженность различным уязвимостям. В конечном итоге вы получаете максимальный объем информации об исследуемых ресурсах.
Репозиторий
#tools #bugbounty #pentest #recon
Он различными способами брутит поддомены (пассивный способ, перебор, перестановки, certificate transparency, парсинг исходного кода, аналитика, DNS-записи) и тестирует цели на подверженность различным уязвимостям. В конечном итоге вы получаете максимальный объем информации об исследуемых ресурсах.
Репозиторий
#tools #bugbounty #pentest #recon
GitHub
GitHub - six2dez/reconftw: reconFTW is a tool designed to perform automated recon on a target domain by running the best set of…
reconFTW is a tool designed to perform automated recon on a target domain by running the best set of tools to perform scanning and finding out vulnerabilities - six2dez/reconftw