Bug Bounty Automation With Python The secrets of bug hunting.pdf
1.1 MB
#bugbounty #book
Bug Bounty automation with Python
Автор: Syed Abuvanth
Книга демонстрирует практическую автоматизацию с использованием Python, с которой сталкивается каждый исследователь безопасности в рамках программ Bug Bounty.
Материал даст вам базовое представление о том, как что-то автоматизировать, чтобы уменьшить количество повторяющихся задач в ходе мероприятий OSINT и разведки.
Bug Bounty automation with Python
Автор: Syed Abuvanth
Книга демонстрирует практическую автоматизацию с использованием Python, с которой сталкивается каждый исследователь безопасности в рамках программ Bug Bounty.
Материал даст вам базовое представление о том, как что-то автоматизировать, чтобы уменьшить количество повторяющихся задач в ходе мероприятий OSINT и разведки.
#pentest
Разбираемся с тремя топ-уязвимостями из предварительного варианта OWASP TOP 10 2021.
https://proglib.io/w/a1807e81
Разбираемся с тремя топ-уязвимостями из предварительного варианта OWASP TOP 10 2021.
https://proglib.io/w/a1807e81
Wallarm
OWASP Top-10 2021. Statistics-based proposal. 📄— Wallarm
The statistics-based calculations of OWASP Top Ten 2021 ☝️It's based on an analysis of 2 millions of security reports from 144 public sources
#interview #career
Чтение историй других хакеров так же полезно, как разбор отчетов об ошибках. Так, Hackerone проводит ежемесячно короткое интервью с особо отличившимися белыми хакерами. Например, хакер @Hazimaslam рассказывает, что впервые столкнулся с веб-безопасностью в 2013 году, когда Yahoo!-аккаунт его друга был взломан.
Вскоре он нашёл свою первую XSS-уязвимость и взял за правило проводить целые ночи в поисках данных уязвимостей, и каждую ночь находить хотя бы одну ошибку, а затем сообщать о них. Таким образом он каждый день осваивал новую технику, трюк или полезную нагрузку.
https://proglib.io/w/92b9fc25
Другие интервью находятся в разделе блог на главном сайте.
Чтение историй других хакеров так же полезно, как разбор отчетов об ошибках. Так, Hackerone проводит ежемесячно короткое интервью с особо отличившимися белыми хакерами. Например, хакер @Hazimaslam рассказывает, что впервые столкнулся с веб-безопасностью в 2013 году, когда Yahoo!-аккаунт его друга был взломан.
Вскоре он нашёл свою первую XSS-уязвимость и взял за правило проводить целые ночи в поисках данных уязвимостей, и каждую ночь находить хотя бы одну ошибку, а затем сообщать о них. Таким образом он каждый день осваивал новую технику, трюк или полезную нагрузку.
https://proglib.io/w/92b9fc25
Другие интервью находятся в разделе блог на главном сайте.
HackerOne
Hacker Spotlight: Interview with hazimaslam
This week’s hacker spotlight, we virtually travel to Pakistan to get to know @hazimaslam and how he hacks and his motivations to continue hacking.
#career #hacking
Статья для тех, кто ещё не знает ответы на следующие вопросы:
✔️Что такое этичный взлом и тестирование на проникновение
✔️Что делает этичный хакер
✔️Как получить сертификат этичного хакера
✔️Что изучать дальше
https://proglib.io/w/6033db2f
Статья для тех, кто ещё не знает ответы на следующие вопросы:
✔️Что такое этичный взлом и тестирование на проникновение
✔️Что делает этичный хакер
✔️Как получить сертификат этичного хакера
✔️Что изучать дальше
https://proglib.io/w/6033db2f
#security
Продолжение серии статей AppSec Adventures про обеспечение безопасности веб-приложений (1я здесь):
- XXE (XML External Entity) Атака и предотвращение
- XSS-атаки (межсайтовый скриптинг) и их предотвращение
- Атаки с использованием SQL-инъекций и их предотвращение в 2021 году: руководство для разработчиков
- CSRF-атаки и их предотвращение: как защитить ваше веб-приложение
- XS-Leaks: раскрывает ли ваш веб-сайт конфиденциальные данные
- Файлы cookie SameSite и зачем они вам нужны
- Content Security Policy Header: полное руководство
- Same Origin Policy: демистификация
- Заголовок HSTS (Strict Transport Security) объяснение
- CORS (Cross-Origin Resource Sharing): полное руководство
Продолжение серии статей AppSec Adventures про обеспечение безопасности веб-приложений (1я здесь):
- XXE (XML External Entity) Атака и предотвращение
- XSS-атаки (межсайтовый скриптинг) и их предотвращение
- Атаки с использованием SQL-инъекций и их предотвращение в 2021 году: руководство для разработчиков
- CSRF-атаки и их предотвращение: как защитить ваше веб-приложение
- XS-Leaks: раскрывает ли ваш веб-сайт конфиденциальные данные
- Файлы cookie SameSite и зачем они вам нужны
- Content Security Policy Header: полное руководство
- Same Origin Policy: демистификация
- Заголовок HSTS (Strict Transport Security) объяснение
- CORS (Cross-Origin Resource Sharing): полное руководство
Telegram
Библиотека хакера
#security
Набор практических рекомендаций для комплексной защиты веб-приложений.
https://proglib.io/w/7e59f217
Набор практических рекомендаций для комплексной защиты веб-приложений.
https://proglib.io/w/7e59f217
#tip #pentest
В ходе проведения тестирования на проникновение одним из этапов является перебор директорий веб-сайта.
Если вы нашли открытый каталог .git, то ни в коем случае не проходите мимо. Либо с помощью инструментов вроде dvcs-ripper, либо без них, можно выгрузить и извлечь данный репозиторий.
В ходе проведения тестирования на проникновение одним из этапов является перебор директорий веб-сайта.
Если вы нашли открытый каталог .git, то ни в коем случае не проходите мимо. Либо с помощью инструментов вроде dvcs-ripper, либо без них, можно выгрузить и извлечь данный репозиторий.
GitHub
GitHub - kost/dvcs-ripper: Rip web accessible (distributed) version control systems: SVN/GIT/HG...
Rip web accessible (distributed) version control systems: SVN/GIT/HG... - GitHub - kost/dvcs-ripper: Rip web accessible (distributed) version control systems: SVN/GIT/HG...
#pentest
Эксплуатируем уязвимость RCE в Tomcat через функционал закрутки файла, используя Path Traversal.
https://proglib.io/w/c2191d6b
Эксплуатируем уязвимость RCE в Tomcat через функционал закрутки файла, используя Path Traversal.
https://proglib.io/w/c2191d6b
Medium
RCE via war upload in Tomcat using path traversal.
Recently I have found a remote code execution through file upload in a java application where I have used a path traversal and war file…
Подписывайтесь на наш Instagram и узнавайте полезную информацию первыми: instagram.com/proglibrary
#pentest
Расшифровка разговора с Омаром Ганиевым (основатель компании DeteAct
и член российской команды хакеров LC↯BC) о пентесте и хакинге.
https://proglib.io/w/5b9e261a
Расшифровка разговора с Омаром Ганиевым (основатель компании DeteAct
и член российской команды хакеров LC↯BC) о пентесте и хакинге.
https://proglib.io/w/5b9e261a
Хабр
Взрослый разговор о пентесте и хакинге
На этой неделе в наших соцсетях выступал Омар Ганиев, основатель компании DeteAct и член российской команды хакеров LC↯BC. Омара можно смело назвать одним из са...
🕵 Примеры атак XSS и способов их ослабления
Понимание межсайтового скриптинга и способов борьбы с ним необходимо каждому веб-разработчику. Это один и самых распространенных видов уязвимостей – злоумышленники часто проводят атаки XSS для кражи данных и нарушения работоспособности сервисов.
https://proglib.io/sh/u6a9XCsR4Z
Понимание межсайтового скриптинга и способов борьбы с ним необходимо каждому веб-разработчику. Это один и самых распространенных видов уязвимостей – злоумышленники часто проводят атаки XSS для кражи данных и нарушения работоспособности сервисов.
https://proglib.io/sh/u6a9XCsR4Z
👋 Всем привет!
17 марта приглашаем в Лекторий Skillbox на воркшоп о том, как обезопасить свои данные в сети.
Специалист по информационной безопасности, топ-эксперт Института Развития Интернета Роман Романов (Pentestit) продемонстрирует распространенные «точки входа», которые позволяют атакующим компрометировать интернет-магазины и другие веб-приложения. Рассмотрим популярные уязвимости и недостатки конфигурации, инструментарий для их эксплуатации, разберем способы противодействия.
Подробности и регистрация 👉 https://u.to/mLkhGw
17 марта приглашаем в Лекторий Skillbox на воркшоп о том, как обезопасить свои данные в сети.
Специалист по информационной безопасности, топ-эксперт Института Развития Интернета Роман Романов (Pentestit) продемонстрирует распространенные «точки входа», которые позволяют атакующим компрометировать интернет-магазины и другие веб-приложения. Рассмотрим популярные уязвимости и недостатки конфигурации, инструментарий для их эксплуатации, разберем способы противодействия.
Подробности и регистрация 👉 https://u.to/mLkhGw
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность pinned «Подписывайтесь на наш Instagram и узнавайте полезную информацию первыми: instagram.com/proglibrary»
Читайте интервью с Java-тимлидом компании Dino Systems. Вы узнаете из первых рук, легко ли пройти путь от джуна до профессионала высокого класса и какие препятствия могут на нем встретиться.
https://proglib.io/sh/VLBFeGyvWu
https://proglib.io/sh/VLBFeGyvWu
Библиотека программиста
☕ «Тот, кто приходит за деньгами либо для престижа, не выдерживает темпа»
Изучить Java с нуля и пройти путь от джуна до высококлассного разработчика – задача непростая, но герою интервью это удалось. О сложностях в освоении профессии нашему корреспонденту рассказал тимлид компании DINS Андрей Кирдеев.
#news
В Microsoft Exchange целая пачка уязвимостей самого высокого уровня критичности.
https://proglib.io/w/1b6b2358
В Microsoft Exchange целая пачка уязвимостей самого высокого уровня критичности.
https://proglib.io/w/1b6b2358
Rapid7
Mass Exploitation of Microsoft Exchange Server Zero-Day CVEs | Rapid7 Blog
Microsoft released details on an active state-sponsored threat campaign exploiting four zero-day vulnerabilities in on-premises instances of Microsoft Exchange Server.
#cheatsheet #tip #pentest
Подборка техник и команд для эксплуатации Windows и Active Directory.
https://proglib.io/w/02151ac2
Подборка техник и команд для эксплуатации Windows и Active Directory.
https://proglib.io/w/02151ac2
Casvancooten
Windows & Active Directory Exploitation Cheat Sheet and Command Reference
Last update: November 3rd, 2021
Updated November 3rd, 2021: Included several fixes and actualized some techniques. Changes made to the Defender evasion, RBCD, Domain Enumeration, Rubeus, and Mimikatz sections. Fixed some whoopsies as well 🙃.
Updated June…
Updated November 3rd, 2021: Included several fixes and actualized some techniques. Changes made to the Defender evasion, RBCD, Domain Enumeration, Rubeus, and Mimikatz sections. Fixed some whoopsies as well 🙃.
Updated June…
#security
В статье описано, как обеспечить безопасное хранение JWT-токенов в одностраничном приложении.
https://proglib.io/w/eaa93658
В статье описано, как обеспечить безопасное хранение JWT-токенов в одностраничном приложении.
https://proglib.io/w/eaa93658
DEV Community
How to Secure JWT in a Single-Page Application
Securely make JWT based authentication in React Application. In this article, we will see how to sec...
Зачем нужна математика?
Из лекции аспиранта ВМК МГУ вы узнаете основные кейсы применения математики в индустриальных задачах.
https://proglib.io/w/ae566036
Из лекции аспиранта ВМК МГУ вы узнаете основные кейсы применения математики в индустриальных задачах.
https://proglib.io/w/ae566036
YouTube
Зачем нужна математика? Лекция аспиранта ВМК МГУ
Разбираем кейсы применения математики в индустриальных задачах.
Оставить заявку на курс «Математика для Data Science» можно здесь – https://proglib.io/w/bb13962b
Промокод на скидку 20% – WEB20
Оставить заявку на курс «Математика для Data Science» можно здесь – https://proglib.io/w/bb13962b
Промокод на скидку 20% – WEB20
Подписывайтесь на наш новый канал @devopsslib и получайте полезные материалы по всему, что может быть интересно DevOps-специалисту.
#career
Статья о заработке в пентесте и вариантах развития в данной сфере. Подобный материал ещё можно прочитать в интервью Mail.ru Group у багхантера Ивана Григорова, который утверждал ещё в 2016м следующее: «Для топовых багхантеров $25К в месяц — не проблема».
Статья о заработке в пентесте и вариантах развития в данной сфере. Подобный материал ещё можно прочитать в интервью Mail.ru Group у багхантера Ивана Григорова, который утверждал ещё в 2016м следующее: «Для топовых багхантеров $25К в месяц — не проблема».
Хабр
50 000 $ в месяц — не проблема, или Сколько на самом деле зарабатывают пентестеры
Пентестер — одна из самых неоднозначных профессий в IT сфере. Вроде как специалист по кибербезопасности, который тестирует системы на уязвимости, но в то же врем...