#security
Продолжение серии статей AppSec Adventures про обеспечение безопасности веб-приложений (1я здесь):
- XXE (XML External Entity) Атака и предотвращение
- XSS-атаки (межсайтовый скриптинг) и их предотвращение
- Атаки с использованием SQL-инъекций и их предотвращение в 2021 году: руководство для разработчиков
- CSRF-атаки и их предотвращение: как защитить ваше веб-приложение
- XS-Leaks: раскрывает ли ваш веб-сайт конфиденциальные данные
- Файлы cookie SameSite и зачем они вам нужны
- Content Security Policy Header: полное руководство
- Same Origin Policy: демистификация
- Заголовок HSTS (Strict Transport Security) объяснение
- CORS (Cross-Origin Resource Sharing): полное руководство
Продолжение серии статей AppSec Adventures про обеспечение безопасности веб-приложений (1я здесь):
- XXE (XML External Entity) Атака и предотвращение
- XSS-атаки (межсайтовый скриптинг) и их предотвращение
- Атаки с использованием SQL-инъекций и их предотвращение в 2021 году: руководство для разработчиков
- CSRF-атаки и их предотвращение: как защитить ваше веб-приложение
- XS-Leaks: раскрывает ли ваш веб-сайт конфиденциальные данные
- Файлы cookie SameSite и зачем они вам нужны
- Content Security Policy Header: полное руководство
- Same Origin Policy: демистификация
- Заголовок HSTS (Strict Transport Security) объяснение
- CORS (Cross-Origin Resource Sharing): полное руководство
Telegram
Библиотека хакера
#security
Набор практических рекомендаций для комплексной защиты веб-приложений.
https://proglib.io/w/7e59f217
Набор практических рекомендаций для комплексной защиты веб-приложений.
https://proglib.io/w/7e59f217
#tip #pentest
В ходе проведения тестирования на проникновение одним из этапов является перебор директорий веб-сайта.
Если вы нашли открытый каталог .git, то ни в коем случае не проходите мимо. Либо с помощью инструментов вроде dvcs-ripper, либо без них, можно выгрузить и извлечь данный репозиторий.
В ходе проведения тестирования на проникновение одним из этапов является перебор директорий веб-сайта.
Если вы нашли открытый каталог .git, то ни в коем случае не проходите мимо. Либо с помощью инструментов вроде dvcs-ripper, либо без них, можно выгрузить и извлечь данный репозиторий.
GitHub
GitHub - kost/dvcs-ripper: Rip web accessible (distributed) version control systems: SVN/GIT/HG...
Rip web accessible (distributed) version control systems: SVN/GIT/HG... - GitHub - kost/dvcs-ripper: Rip web accessible (distributed) version control systems: SVN/GIT/HG...
#pentest
Эксплуатируем уязвимость RCE в Tomcat через функционал закрутки файла, используя Path Traversal.
https://proglib.io/w/c2191d6b
Эксплуатируем уязвимость RCE в Tomcat через функционал закрутки файла, используя Path Traversal.
https://proglib.io/w/c2191d6b
Medium
RCE via war upload in Tomcat using path traversal.
Recently I have found a remote code execution through file upload in a java application where I have used a path traversal and war file…
Подписывайтесь на наш Instagram и узнавайте полезную информацию первыми: instagram.com/proglibrary
#pentest
Расшифровка разговора с Омаром Ганиевым (основатель компании DeteAct
и член российской команды хакеров LC↯BC) о пентесте и хакинге.
https://proglib.io/w/5b9e261a
Расшифровка разговора с Омаром Ганиевым (основатель компании DeteAct
и член российской команды хакеров LC↯BC) о пентесте и хакинге.
https://proglib.io/w/5b9e261a
Хабр
Взрослый разговор о пентесте и хакинге
На этой неделе в наших соцсетях выступал Омар Ганиев, основатель компании DeteAct и член российской команды хакеров LC↯BC. Омара можно смело назвать одним из са...
🕵 Примеры атак XSS и способов их ослабления
Понимание межсайтового скриптинга и способов борьбы с ним необходимо каждому веб-разработчику. Это один и самых распространенных видов уязвимостей – злоумышленники часто проводят атаки XSS для кражи данных и нарушения работоспособности сервисов.
https://proglib.io/sh/u6a9XCsR4Z
Понимание межсайтового скриптинга и способов борьбы с ним необходимо каждому веб-разработчику. Это один и самых распространенных видов уязвимостей – злоумышленники часто проводят атаки XSS для кражи данных и нарушения работоспособности сервисов.
https://proglib.io/sh/u6a9XCsR4Z
👋 Всем привет!
17 марта приглашаем в Лекторий Skillbox на воркшоп о том, как обезопасить свои данные в сети.
Специалист по информационной безопасности, топ-эксперт Института Развития Интернета Роман Романов (Pentestit) продемонстрирует распространенные «точки входа», которые позволяют атакующим компрометировать интернет-магазины и другие веб-приложения. Рассмотрим популярные уязвимости и недостатки конфигурации, инструментарий для их эксплуатации, разберем способы противодействия.
Подробности и регистрация 👉 https://u.to/mLkhGw
17 марта приглашаем в Лекторий Skillbox на воркшоп о том, как обезопасить свои данные в сети.
Специалист по информационной безопасности, топ-эксперт Института Развития Интернета Роман Романов (Pentestit) продемонстрирует распространенные «точки входа», которые позволяют атакующим компрометировать интернет-магазины и другие веб-приложения. Рассмотрим популярные уязвимости и недостатки конфигурации, инструментарий для их эксплуатации, разберем способы противодействия.
Подробности и регистрация 👉 https://u.to/mLkhGw
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность pinned «Подписывайтесь на наш Instagram и узнавайте полезную информацию первыми: instagram.com/proglibrary»
Читайте интервью с Java-тимлидом компании Dino Systems. Вы узнаете из первых рук, легко ли пройти путь от джуна до профессионала высокого класса и какие препятствия могут на нем встретиться.
https://proglib.io/sh/VLBFeGyvWu
https://proglib.io/sh/VLBFeGyvWu
Библиотека программиста
☕ «Тот, кто приходит за деньгами либо для престижа, не выдерживает темпа»
Изучить Java с нуля и пройти путь от джуна до высококлассного разработчика – задача непростая, но герою интервью это удалось. О сложностях в освоении профессии нашему корреспонденту рассказал тимлид компании DINS Андрей Кирдеев.
#news
В Microsoft Exchange целая пачка уязвимостей самого высокого уровня критичности.
https://proglib.io/w/1b6b2358
В Microsoft Exchange целая пачка уязвимостей самого высокого уровня критичности.
https://proglib.io/w/1b6b2358
Rapid7
Mass Exploitation of Microsoft Exchange Server Zero-Day CVEs | Rapid7 Blog
Microsoft released details on an active state-sponsored threat campaign exploiting four zero-day vulnerabilities in on-premises instances of Microsoft Exchange Server.
#cheatsheet #tip #pentest
Подборка техник и команд для эксплуатации Windows и Active Directory.
https://proglib.io/w/02151ac2
Подборка техник и команд для эксплуатации Windows и Active Directory.
https://proglib.io/w/02151ac2
Casvancooten
Windows & Active Directory Exploitation Cheat Sheet and Command Reference
Last update: November 3rd, 2021
Updated November 3rd, 2021: Included several fixes and actualized some techniques. Changes made to the Defender evasion, RBCD, Domain Enumeration, Rubeus, and Mimikatz sections. Fixed some whoopsies as well 🙃.
Updated June…
Updated November 3rd, 2021: Included several fixes and actualized some techniques. Changes made to the Defender evasion, RBCD, Domain Enumeration, Rubeus, and Mimikatz sections. Fixed some whoopsies as well 🙃.
Updated June…
#security
В статье описано, как обеспечить безопасное хранение JWT-токенов в одностраничном приложении.
https://proglib.io/w/eaa93658
В статье описано, как обеспечить безопасное хранение JWT-токенов в одностраничном приложении.
https://proglib.io/w/eaa93658
DEV Community
How to Secure JWT in a Single-Page Application
Securely make JWT based authentication in React Application. In this article, we will see how to sec...
Зачем нужна математика?
Из лекции аспиранта ВМК МГУ вы узнаете основные кейсы применения математики в индустриальных задачах.
https://proglib.io/w/ae566036
Из лекции аспиранта ВМК МГУ вы узнаете основные кейсы применения математики в индустриальных задачах.
https://proglib.io/w/ae566036
YouTube
Зачем нужна математика? Лекция аспиранта ВМК МГУ
Разбираем кейсы применения математики в индустриальных задачах.
Оставить заявку на курс «Математика для Data Science» можно здесь – https://proglib.io/w/bb13962b
Промокод на скидку 20% – WEB20
Оставить заявку на курс «Математика для Data Science» можно здесь – https://proglib.io/w/bb13962b
Промокод на скидку 20% – WEB20
Подписывайтесь на наш новый канал @devopsslib и получайте полезные материалы по всему, что может быть интересно DevOps-специалисту.
#career
Статья о заработке в пентесте и вариантах развития в данной сфере. Подобный материал ещё можно прочитать в интервью Mail.ru Group у багхантера Ивана Григорова, который утверждал ещё в 2016м следующее: «Для топовых багхантеров $25К в месяц — не проблема».
Статья о заработке в пентесте и вариантах развития в данной сфере. Подобный материал ещё можно прочитать в интервью Mail.ru Group у багхантера Ивана Григорова, который утверждал ещё в 2016м следующее: «Для топовых багхантеров $25К в месяц — не проблема».
Хабр
50 000 $ в месяц — не проблема, или Сколько на самом деле зарабатывают пентестеры
Пентестер — одна из самых неоднозначных профессий в IT сфере. Вроде как специалист по кибербезопасности, который тестирует системы на уязвимости, но в то же врем...
#opensource #career
«Если хочешь идти быстро — иди один, если хочешь идти далеко — идите вместе.» — Африканская пословица
В приведенной пословице заключается весь смысл подхода под названием «Гитхабификация информационной безопасности». Данный подход нацелен на открытую, вендоронезависимую и приветствующую вклад сообщества модель ускоренного обучения ИБ, что позволит ИБ-специалистам учиться вместе, делиться опытом и навыками — и выигрывать время.
Важно отметить, что данный подход состоит из трех компонентов: знания, аналитика и анализ. При этом главная цель — эффективное обнаружение угроз и улучшение набора правил проекта Sigma (общий формат записи для SIEM-систем) для улучшения покрытия MITRE ATT&CK.
https://proglib.io/w/eff1824c
«Если хочешь идти быстро — иди один, если хочешь идти далеко — идите вместе.» — Африканская пословица
В приведенной пословице заключается весь смысл подхода под названием «Гитхабификация информационной безопасности». Данный подход нацелен на открытую, вендоронезависимую и приветствующую вклад сообщества модель ускоренного обучения ИБ, что позволит ИБ-специалистам учиться вместе, делиться опытом и навыками — и выигрывать время.
Важно отметить, что данный подход состоит из трех компонентов: знания, аналитика и анализ. При этом главная цель — эффективное обнаружение угроз и улучшение набора правил проекта Sigma (общий формат записи для SIEM-систем) для улучшения покрытия MITRE ATT&CK.
https://proglib.io/w/eff1824c
#pentest #tools
Список инструментов для проведения пентеста, разделённый по категориям.
https://proglib.io/w/29522830
Список инструментов для проведения пентеста, разделённый по категориям.
https://proglib.io/w/29522830
#security
Основы защиты приложений на Node.js от SQL-инъекций и других уязвимостей.
https://proglib.io/w/857b652e
Основы защиты приложений на Node.js от SQL-инъекций и других уязвимостей.
https://proglib.io/w/857b652e
Язык программирования, на котором больше всего пишите
Anonymous Poll
39%
Python
17%
JavaScript
12%
Java
23%
С/C++
18%
С#
9%
PHP
9%
Go
3%
Kotlin
2%
Swift
6%
Другой