Подписывайтесь на наш новый канал @devopsslib и получайте полезные материалы по всему, что может быть интересно DevOps-специалисту.
#career
Статья о заработке в пентесте и вариантах развития в данной сфере. Подобный материал ещё можно прочитать в интервью Mail.ru Group у багхантера Ивана Григорова, который утверждал ещё в 2016м следующее: «Для топовых багхантеров $25К в месяц — не проблема».
Статья о заработке в пентесте и вариантах развития в данной сфере. Подобный материал ещё можно прочитать в интервью Mail.ru Group у багхантера Ивана Григорова, который утверждал ещё в 2016м следующее: «Для топовых багхантеров $25К в месяц — не проблема».
Хабр
50 000 $ в месяц — не проблема, или Сколько на самом деле зарабатывают пентестеры
Пентестер — одна из самых неоднозначных профессий в IT сфере. Вроде как специалист по кибербезопасности, который тестирует системы на уязвимости, но в то же врем...
#opensource #career
«Если хочешь идти быстро — иди один, если хочешь идти далеко — идите вместе.» — Африканская пословица
В приведенной пословице заключается весь смысл подхода под названием «Гитхабификация информационной безопасности». Данный подход нацелен на открытую, вендоронезависимую и приветствующую вклад сообщества модель ускоренного обучения ИБ, что позволит ИБ-специалистам учиться вместе, делиться опытом и навыками — и выигрывать время.
Важно отметить, что данный подход состоит из трех компонентов: знания, аналитика и анализ. При этом главная цель — эффективное обнаружение угроз и улучшение набора правил проекта Sigma (общий формат записи для SIEM-систем) для улучшения покрытия MITRE ATT&CK.
https://proglib.io/w/eff1824c
«Если хочешь идти быстро — иди один, если хочешь идти далеко — идите вместе.» — Африканская пословица
В приведенной пословице заключается весь смысл подхода под названием «Гитхабификация информационной безопасности». Данный подход нацелен на открытую, вендоронезависимую и приветствующую вклад сообщества модель ускоренного обучения ИБ, что позволит ИБ-специалистам учиться вместе, делиться опытом и навыками — и выигрывать время.
Важно отметить, что данный подход состоит из трех компонентов: знания, аналитика и анализ. При этом главная цель — эффективное обнаружение угроз и улучшение набора правил проекта Sigma (общий формат записи для SIEM-систем) для улучшения покрытия MITRE ATT&CK.
https://proglib.io/w/eff1824c
#pentest #tools
Список инструментов для проведения пентеста, разделённый по категориям.
https://proglib.io/w/29522830
Список инструментов для проведения пентеста, разделённый по категориям.
https://proglib.io/w/29522830
#security
Основы защиты приложений на Node.js от SQL-инъекций и других уязвимостей.
https://proglib.io/w/857b652e
Основы защиты приложений на Node.js от SQL-инъекций и других уязвимостей.
https://proglib.io/w/857b652e
Язык программирования, на котором больше всего пишите
Anonymous Poll
39%
Python
17%
JavaScript
12%
Java
23%
С/C++
18%
С#
9%
PHP
9%
Go
3%
Kotlin
2%
Swift
6%
Другой
#security #pentest
Специалисты из Detectify проанализировали почти 50 000 уникальных файлов конфигурации Nginx, загруженных с GitHub с помощью Google BigQuery. С помощью собранных данных им удалось выяснить, какие ошибки в конфигурациях встречаются чаще всего. В результате получилась полезная статья, которая раскрывает следующие неправильные настройки Nginx:
- Отсутствие корневого каталога
- Небезопасное использование переменных
- Чтение необработанного ответа сервера
- merge_slashes отключены
Но история на этом не закончилась. Проект Gixy помог найти множество неправильных конфигураций промежуточного ПО. Ознакомиться можно здесь.
Специалисты из Detectify проанализировали почти 50 000 уникальных файлов конфигурации Nginx, загруженных с GitHub с помощью Google BigQuery. С помощью собранных данных им удалось выяснить, какие ошибки в конфигурациях встречаются чаще всего. В результате получилась полезная статья, которая раскрывает следующие неправильные настройки Nginx:
- Отсутствие корневого каталога
- Небезопасное использование переменных
- Чтение необработанного ответа сервера
- merge_slashes отключены
Но история на этом не закончилась. Проект Gixy помог найти множество неправильных конфигураций промежуточного ПО. Ознакомиться можно здесь.
Хабр
Частые ошибки в настройках Nginx, из-за которых веб-сервер становится уязвимым
Nginx — это веб-сервер, на котором работает треть всех сайтов в мире. Но если забыть или проигнорировать некоторые ошибки в настройках, можно стать отличной мише...
#writeup #pentest #bugbounty
Очередной writeup, описывающий процесс поиска и эксплуатации уязвимостей в инфраструктуре Facebook. Самое интересное, что многие из них начинаются с фразы: «Как только пандемия началась, у меня было много свободного времени ... ».
Часть 1
Часть 2
Очередной writeup, описывающий процесс поиска и эксплуатации уязвимостей в инфраструктуре Facebook. Самое интересное, что многие из них начинаются с фразы: «Как только пандемия началась, у меня было много свободного времени ... ».
Часть 1
Часть 2
Medium
How I hacked Facebook: Part One
We’ve been in this pandemic since March and once the pandemic started I was having plenty of free time, And I need to use that time wisely…
Какой ваш коммерческий опыт в IT
Anonymous Poll
41%
нет опыта
11%
до 1 года включительно
13%
от 1 года до 3 лет включительно
14%
от 3 до 6 лет включительно
20%
более 6 лет
#bugbounty #pentest
Способов запустить
https://proglib.io/w/0145fd97
Способов запустить
alert(document.domain) в контексте целевого сайта много не бывает 😎.https://proglib.io/w/0145fd97
Gist
Ways to alert(document.domain)
Ways to alert(document.domain). GitHub Gist: instantly share code, notes, and snippets.
#pentest #practice #bugbounty
Rana Khalil пугружается в тему SQL-инъекций с помощью лабораторий Web Security Academy от PortSwigger и записывает процесс прохождения на видео.
Короткая версия
Длинная версия
Rana Khalil пугружается в тему SQL-инъекций с помощью лабораторий Web Security Academy от PortSwigger и записывает процесс прохождения на видео.
Короткая версия
Длинная версия
YouTube
SQL Injection - Lab #1 SQL injection vulnerability in WHERE clause allowing retrieval of hidden data
In this video, we cover Lab #1 in the SQL injection track of the Web Security Academy. This lab contains an SQL injection vulnerability in the product category filter. To solve the lab, we perform a SQL injection attack that causes the application to display…
#career
Объективный взгляд на платные курсы по информационной безопасности.
https://proglib.io/w/a0b08b64
Объективный взгляд на платные курсы по информационной безопасности.
https://proglib.io/w/a0b08b64
Хабр
Хакеры быстрого приготовления
Сертифицированный этичный хакер на зарплате, баунтихантер(не, ну есть же репорт на хакерване, значит – зачет по пункту), ресечер и автор публикаций CVE, гик с бр...
#tips #burpsuite #bugbounty
10 полезных советов по работе с Burp Suite: https://proglib.io/w/1ebb2676
10 полезных советов по работе с Burp Suite: https://proglib.io/w/1ebb2676
Medium
Top 10 Tips for Burp Suite
Collection of useful features in Burp Suite Application
Ищете работу в ИТ и устали ежедневно просматривать десятки сайтов? Подписывайтесь в Telegram на наши каналы с вакансиями!
«Библиотека программиста» отобрала для вас лучшие на российском рынке труда предложения по разным направлениям: Go, Python, C#/C/C++, Java, JavaScript, PHP, Data Science, Quality Assurance, DevOps, мобильной разработке и другим непонятным аббревиатурам и сокращениям.
Здесь вы получите актуальную информацию первыми:
@pydevjob
@jsdevjob
@csharpdevjob
@javadevjob
@datajob
@phpdevjob
@godevjob
@mobiledevjob
@cppdevjob
@testerrjob
@devopssjob
Узнавайте о самых интересных вакансиях без лишних телодвижений!
«Библиотека программиста» отобрала для вас лучшие на российском рынке труда предложения по разным направлениям: Go, Python, C#/C/C++, Java, JavaScript, PHP, Data Science, Quality Assurance, DevOps, мобильной разработке и другим непонятным аббревиатурам и сокращениям.
Здесь вы получите актуальную информацию первыми:
@pydevjob
@jsdevjob
@csharpdevjob
@javadevjob
@datajob
@phpdevjob
@godevjob
@mobiledevjob
@cppdevjob
@testerrjob
@devopssjob
Узнавайте о самых интересных вакансиях без лишних телодвижений!
#pentest #bugbounty
GraphQL — язык запросов для API с открытым исходным кодом, который создавался как более эффективная альтернатива REST. GraphQL предоставляет полное и понятное описание данных в API, дает пользователям возможность запрашивать именно то, что им нужно, и не более того, упрощает развитие API с течением времени и предоставляет мощные инструменты разработчика.
GraphQL был разработан внутри Facebook в 2012 году до публичного выпуска в 2015 году. В 2018 году проект GraphQL был перенесен из Facebook в недавно созданный GraphQL Foundation. Такая популярность только подогревает интерес со стороны специалистов по ИБ.
О пентесте приложений с GraphQL можно почитать материал от Digital Security или специалистов Mail.ru Group, которые описали инструмент для тестирования GraphQL API. С его помощью можно увидеть полную картину и понять, как использовать GraphQL API. Прокачать практические навыки в пентесте GraphQL API можно с помощью уязвимого приложения.
GraphQL — язык запросов для API с открытым исходным кодом, который создавался как более эффективная альтернатива REST. GraphQL предоставляет полное и понятное описание данных в API, дает пользователям возможность запрашивать именно то, что им нужно, и не более того, упрощает развитие API с течением времени и предоставляет мощные инструменты разработчика.
GraphQL был разработан внутри Facebook в 2012 году до публичного выпуска в 2015 году. В 2018 году проект GraphQL был перенесен из Facebook в недавно созданный GraphQL Foundation. Такая популярность только подогревает интерес со стороны специалистов по ИБ.
О пентесте приложений с GraphQL можно почитать материал от Digital Security или специалистов Mail.ru Group, которые описали инструмент для тестирования GraphQL API. С его помощью можно увидеть полную картину и понять, как использовать GraphQL API. Прокачать практические навыки в пентесте GraphQL API можно с помощью уязвимого приложения.
#security
Руководство по предотвращению SQL-инъекций и других уязвимостей в приложениях на PHP.
https://proglib.io/w/dcbbe44a
Руководство по предотвращению SQL-инъекций и других уязвимостей в приложениях на PHP.
https://proglib.io/w/dcbbe44a
#pentest #redteam
Разбираем современные техники повышения привилегий в Windows:
- Повышение привилегий, возникающее из-за наличия доступного для записи каталога в переменной окружения
- Повышение привилегий на основе RBCD (resource-based constrained delegation)
Разбираем современные техники повышения привилегий в Windows:
- Повышение привилегий, возникающее из-за наличия доступного для записи каталога в переменной окружения
- Повышение привилегий на основе RBCD (resource-based constrained delegation)
Praetorian
Red Team Local Privilege Escalation - Writable SYSTEM Path Privilege Escalation - Part 1 -
Two Windows local privilege escalation vulnerabilities are commonly identified during red team exercises. These issues are of particular interest due to their prevalence within organizations with mature security programs.
Хотим сделать классную онлайн-школу с интересными спикерами и отзывчивыми менторами по программированию, data science и разработке игр. Какое(-ие) название(-я) вам нравится(-ятся) больше всего?
Anonymous Poll
16%
proglib.courses
5%
progcourses
51%
proglib.academy
4%
progtuts
20%
proglib.school
10%
progschool
12%
без разницы/все названия нормальные
7%
никакое не понравилось/предложу свое
#forensic
Форензика (компьютерная криминалистика, расследование киберпреступлений) представляет собой прикладную науку о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств.
Форензика является одной из самых интересных и сложных сфер ИБ, особенно с учетом повышения востребованности специалистовв по реагированию на инциденты. Подборка полезных ресурсов по форензике собрана в данной статье. А здесь представлена кладезь полезной информации по цифровой криминалистике и реагированию на инциденты.
Форензика (компьютерная криминалистика, расследование киберпреступлений) представляет собой прикладную науку о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств.
Форензика является одной из самых интересных и сложных сфер ИБ, особенно с учетом повышения востребованности специалистовв по реагированию на инциденты. Подборка полезных ресурсов по форензике собрана в данной статье. А здесь представлена кладезь полезной информации по цифровой криминалистике и реагированию на инциденты.
SecurityLab.ru
Немного ресурсов по форензике (практика расследования кибер-преступлений)
Небольшая подборка ключевых фундаментальных ресурсов по теме цифровой форензики (digital forensic) - искусству расследования кибер-преступлений
Хотите больше мемов от пикчера Библиотеки программиста? Подписывайтесь: @itmemlib