#pentest #bugbounty
Вика Бегенчева из Redmadrobot рассказывает простыми словами об основах тестирования безопасности веб-приложений.
https://proglib.io/w/53946426
Вика Бегенчева из Redmadrobot рассказывает простыми словами об основах тестирования безопасности веб-приложений.
https://proglib.io/w/53946426
Хабр
«Осторожно, печеньки!»: советы начинающим тестировщикам в сфере безопасности
Привет, меня зовут Вика Бегенчева, я QA-инженер в Redmadrobot. Я расскажу, как злоумышленники крадут наши данные, и что можно сделать, чтобы от этого защититься.
#bugbounty #pentest
Подборка полезных советов, которые могут помочь найти свою первую ошибку или уязвимость.
https://proglib.io/w/a3d2b56d
Подборка полезных советов, которые могут помочь найти свою первую ошибку или уязвимость.
https://proglib.io/w/a3d2b56d
YouTube
How to Find Your First Bug
I'm back! I have just handed in my PhD (not a dr yet, still need to have my viva), and I can finally get back to making weekly videos. I wanted to come back with a bang, so here are my top tips on how to find your first bug and my recommendations if you're…
#tip #recon
Для удобного графического представления результатов сканирования с помощью утилиты Nmap можно использовать инструмент nmap-bootstrap-xsl.
Читать подробнее в статье
Для удобного графического представления результатов сканирования с помощью утилиты Nmap можно использовать инструмент nmap-bootstrap-xsl.
Читать подробнее в статье
#mobile #pentest #ios
Тестирование безопасности iOS-приложений
Статья будет полезна для начинающих исследователей безопасности мобильных приложений под iOS и тех, кто хочет разобраться, как все устроено изнутри.
https://proglib.io/w/28cf806d
Тестирование безопасности iOS-приложений
Статья будет полезна для начинающих исследователей безопасности мобильных приложений под iOS и тех, кто хочет разобраться, как все устроено изнутри.
https://proglib.io/w/28cf806d
Хабр
Безопасность iOS-приложений: гайд для новичков
Привет! Меня зовут Гриша, я работаю application security инженером в компании Wrike и отвечаю за безопасность наших мобильных приложений. В этой статье я расскаж...
Bug Bounty Automation With Python The secrets of bug hunting.pdf
1.1 MB
#bugbounty #book
Bug Bounty automation with Python
Автор: Syed Abuvanth
Книга демонстрирует практическую автоматизацию с использованием Python, с которой сталкивается каждый исследователь безопасности в рамках программ Bug Bounty.
Материал даст вам базовое представление о том, как что-то автоматизировать, чтобы уменьшить количество повторяющихся задач в ходе мероприятий OSINT и разведки.
Bug Bounty automation with Python
Автор: Syed Abuvanth
Книга демонстрирует практическую автоматизацию с использованием Python, с которой сталкивается каждый исследователь безопасности в рамках программ Bug Bounty.
Материал даст вам базовое представление о том, как что-то автоматизировать, чтобы уменьшить количество повторяющихся задач в ходе мероприятий OSINT и разведки.
#pentest
Разбираемся с тремя топ-уязвимостями из предварительного варианта OWASP TOP 10 2021.
https://proglib.io/w/a1807e81
Разбираемся с тремя топ-уязвимостями из предварительного варианта OWASP TOP 10 2021.
https://proglib.io/w/a1807e81
Wallarm
OWASP Top-10 2021. Statistics-based proposal. 📄— Wallarm
The statistics-based calculations of OWASP Top Ten 2021 ☝️It's based on an analysis of 2 millions of security reports from 144 public sources
#interview #career
Чтение историй других хакеров так же полезно, как разбор отчетов об ошибках. Так, Hackerone проводит ежемесячно короткое интервью с особо отличившимися белыми хакерами. Например, хакер @Hazimaslam рассказывает, что впервые столкнулся с веб-безопасностью в 2013 году, когда Yahoo!-аккаунт его друга был взломан.
Вскоре он нашёл свою первую XSS-уязвимость и взял за правило проводить целые ночи в поисках данных уязвимостей, и каждую ночь находить хотя бы одну ошибку, а затем сообщать о них. Таким образом он каждый день осваивал новую технику, трюк или полезную нагрузку.
https://proglib.io/w/92b9fc25
Другие интервью находятся в разделе блог на главном сайте.
Чтение историй других хакеров так же полезно, как разбор отчетов об ошибках. Так, Hackerone проводит ежемесячно короткое интервью с особо отличившимися белыми хакерами. Например, хакер @Hazimaslam рассказывает, что впервые столкнулся с веб-безопасностью в 2013 году, когда Yahoo!-аккаунт его друга был взломан.
Вскоре он нашёл свою первую XSS-уязвимость и взял за правило проводить целые ночи в поисках данных уязвимостей, и каждую ночь находить хотя бы одну ошибку, а затем сообщать о них. Таким образом он каждый день осваивал новую технику, трюк или полезную нагрузку.
https://proglib.io/w/92b9fc25
Другие интервью находятся в разделе блог на главном сайте.
HackerOne
Hacker Spotlight: Interview with hazimaslam
This week’s hacker spotlight, we virtually travel to Pakistan to get to know @hazimaslam and how he hacks and his motivations to continue hacking.
#career #hacking
Статья для тех, кто ещё не знает ответы на следующие вопросы:
✔️Что такое этичный взлом и тестирование на проникновение
✔️Что делает этичный хакер
✔️Как получить сертификат этичного хакера
✔️Что изучать дальше
https://proglib.io/w/6033db2f
Статья для тех, кто ещё не знает ответы на следующие вопросы:
✔️Что такое этичный взлом и тестирование на проникновение
✔️Что делает этичный хакер
✔️Как получить сертификат этичного хакера
✔️Что изучать дальше
https://proglib.io/w/6033db2f
#security
Продолжение серии статей AppSec Adventures про обеспечение безопасности веб-приложений (1я здесь):
- XXE (XML External Entity) Атака и предотвращение
- XSS-атаки (межсайтовый скриптинг) и их предотвращение
- Атаки с использованием SQL-инъекций и их предотвращение в 2021 году: руководство для разработчиков
- CSRF-атаки и их предотвращение: как защитить ваше веб-приложение
- XS-Leaks: раскрывает ли ваш веб-сайт конфиденциальные данные
- Файлы cookie SameSite и зачем они вам нужны
- Content Security Policy Header: полное руководство
- Same Origin Policy: демистификация
- Заголовок HSTS (Strict Transport Security) объяснение
- CORS (Cross-Origin Resource Sharing): полное руководство
Продолжение серии статей AppSec Adventures про обеспечение безопасности веб-приложений (1я здесь):
- XXE (XML External Entity) Атака и предотвращение
- XSS-атаки (межсайтовый скриптинг) и их предотвращение
- Атаки с использованием SQL-инъекций и их предотвращение в 2021 году: руководство для разработчиков
- CSRF-атаки и их предотвращение: как защитить ваше веб-приложение
- XS-Leaks: раскрывает ли ваш веб-сайт конфиденциальные данные
- Файлы cookie SameSite и зачем они вам нужны
- Content Security Policy Header: полное руководство
- Same Origin Policy: демистификация
- Заголовок HSTS (Strict Transport Security) объяснение
- CORS (Cross-Origin Resource Sharing): полное руководство
Telegram
Библиотека хакера
#security
Набор практических рекомендаций для комплексной защиты веб-приложений.
https://proglib.io/w/7e59f217
Набор практических рекомендаций для комплексной защиты веб-приложений.
https://proglib.io/w/7e59f217
#tip #pentest
В ходе проведения тестирования на проникновение одним из этапов является перебор директорий веб-сайта.
Если вы нашли открытый каталог .git, то ни в коем случае не проходите мимо. Либо с помощью инструментов вроде dvcs-ripper, либо без них, можно выгрузить и извлечь данный репозиторий.
В ходе проведения тестирования на проникновение одним из этапов является перебор директорий веб-сайта.
Если вы нашли открытый каталог .git, то ни в коем случае не проходите мимо. Либо с помощью инструментов вроде dvcs-ripper, либо без них, можно выгрузить и извлечь данный репозиторий.
GitHub
GitHub - kost/dvcs-ripper: Rip web accessible (distributed) version control systems: SVN/GIT/HG...
Rip web accessible (distributed) version control systems: SVN/GIT/HG... - GitHub - kost/dvcs-ripper: Rip web accessible (distributed) version control systems: SVN/GIT/HG...
#pentest
Эксплуатируем уязвимость RCE в Tomcat через функционал закрутки файла, используя Path Traversal.
https://proglib.io/w/c2191d6b
Эксплуатируем уязвимость RCE в Tomcat через функционал закрутки файла, используя Path Traversal.
https://proglib.io/w/c2191d6b
Medium
RCE via war upload in Tomcat using path traversal.
Recently I have found a remote code execution through file upload in a java application where I have used a path traversal and war file…
Подписывайтесь на наш Instagram и узнавайте полезную информацию первыми: instagram.com/proglibrary
#pentest
Расшифровка разговора с Омаром Ганиевым (основатель компании DeteAct
и член российской команды хакеров LC↯BC) о пентесте и хакинге.
https://proglib.io/w/5b9e261a
Расшифровка разговора с Омаром Ганиевым (основатель компании DeteAct
и член российской команды хакеров LC↯BC) о пентесте и хакинге.
https://proglib.io/w/5b9e261a
Хабр
Взрослый разговор о пентесте и хакинге
На этой неделе в наших соцсетях выступал Омар Ганиев, основатель компании DeteAct и член российской команды хакеров LC↯BC. Омара можно смело назвать одним из са...
🕵 Примеры атак XSS и способов их ослабления
Понимание межсайтового скриптинга и способов борьбы с ним необходимо каждому веб-разработчику. Это один и самых распространенных видов уязвимостей – злоумышленники часто проводят атаки XSS для кражи данных и нарушения работоспособности сервисов.
https://proglib.io/sh/u6a9XCsR4Z
Понимание межсайтового скриптинга и способов борьбы с ним необходимо каждому веб-разработчику. Это один и самых распространенных видов уязвимостей – злоумышленники часто проводят атаки XSS для кражи данных и нарушения работоспособности сервисов.
https://proglib.io/sh/u6a9XCsR4Z
👋 Всем привет!
17 марта приглашаем в Лекторий Skillbox на воркшоп о том, как обезопасить свои данные в сети.
Специалист по информационной безопасности, топ-эксперт Института Развития Интернета Роман Романов (Pentestit) продемонстрирует распространенные «точки входа», которые позволяют атакующим компрометировать интернет-магазины и другие веб-приложения. Рассмотрим популярные уязвимости и недостатки конфигурации, инструментарий для их эксплуатации, разберем способы противодействия.
Подробности и регистрация 👉 https://u.to/mLkhGw
17 марта приглашаем в Лекторий Skillbox на воркшоп о том, как обезопасить свои данные в сети.
Специалист по информационной безопасности, топ-эксперт Института Развития Интернета Роман Романов (Pentestit) продемонстрирует распространенные «точки входа», которые позволяют атакующим компрометировать интернет-магазины и другие веб-приложения. Рассмотрим популярные уязвимости и недостатки конфигурации, инструментарий для их эксплуатации, разберем способы противодействия.
Подробности и регистрация 👉 https://u.to/mLkhGw
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность pinned «Подписывайтесь на наш Instagram и узнавайте полезную информацию первыми: instagram.com/proglibrary»
Читайте интервью с Java-тимлидом компании Dino Systems. Вы узнаете из первых рук, легко ли пройти путь от джуна до профессионала высокого класса и какие препятствия могут на нем встретиться.
https://proglib.io/sh/VLBFeGyvWu
https://proglib.io/sh/VLBFeGyvWu
Библиотека программиста
☕ «Тот, кто приходит за деньгами либо для престижа, не выдерживает темпа»
Изучить Java с нуля и пройти путь от джуна до высококлассного разработчика – задача непростая, но герою интервью это удалось. О сложностях в освоении профессии нашему корреспонденту рассказал тимлид компании DINS Андрей Кирдеев.