#career

Объективный взгляд на платные курсы по информационной безопасности.

https://proglib.io/w/a0b08b64

#tips #burpsuite #bugbounty

10 полезных советов по работе с Burp Suite: https://proglib.io/w/1ebb2676

Ищете работу в ИТ и устали ежедневно просматривать десятки сайтов? Подписывайтесь в Telegram на наши каналы с вакансиями!

«Библиотека программиста» отобрала для вас лучшие на российском рынке труда предложения по разным направлениям: Go, Python, C#/C/C++, Java, JavaScript, PHP, Data Science, Quality Assurance, DevOps, мобильной разработке и другим непонятным аббревиатурам и сокращениям.

Здесь вы получите актуальную информацию первыми:

@pydevjob
@jsdevjob
@csharpdevjob
@javadevjob
@datajob
@phpdevjob
@godevjob
@mobiledevjob
@cppdevjob
@testerrjob
@devopssjob

Узнавайте о самых интересных вакансиях без лишних телодвижений!

​#pentest #bugbounty

GraphQL — язык запросов для API с открытым исходным кодом, который создавался как более эффективная альтернатива REST. GraphQL предоставляет полное и понятное описание данных в API, дает пользователям возможность запрашивать именно то, что им нужно, и не более того, упрощает развитие API с течением времени и предоставляет мощные инструменты разработчика.

GraphQL был разработан внутри Facebook в 2012 году до публичного выпуска в 2015 году. В 2018 году проект GraphQL был перенесен из Facebook в недавно созданный GraphQL Foundation. Такая популярность только подогревает интерес со стороны специалистов по ИБ.

О пентесте приложений с GraphQL можно почитать материал от Digital Security или специалистов Mail.ru Group, которые описали инструмент для тестирования GraphQL API. С его помощью можно увидеть полную картину и понять, как использовать GraphQL API. Прокачать практические навыки в пентесте GraphQL API можно с помощью уязвимого приложения.

#security

Руководство по предотвращению SQL-инъекций и других уязвимостей в приложениях на PHP.

https://proglib.io/w/dcbbe44a

#pentest #redteam

Разбираем современные техники повышения привилегий в Windows:

- Повышение привилегий, возникающее из-за наличия доступного для записи каталога в переменной окружения
- Повышение привилегий на основе RBCD (resource-based constrained delegation)

#forensic

Форензика (компьютерная криминалистика, расследование киберпреступлений) представляет собой прикладную науку о раскрытии преступлений, связанных с компьютерной информацией, об исследовании цифровых доказательств, методах поиска, получения и закрепления таких доказательств.

Форензика является одной из самых интересных и сложных сфер ИБ, особенно с учетом повышения востребованности специалистовв по реагированию на инциденты. Подборка полезных ресурсов по форензике собрана в данной статье. А здесь представлена кладезь полезной информации по цифровой криминалистике и реагированию на инциденты.

Хотите больше мемов от пикчера Библиотеки программиста? Подписывайтесь: @itmemlib

#pentest #bugbounty

А вы задумываетесь о безопасности пакета, который устанавливаете для своего проекта с помощью pip / npm или других инструментов? Alex Birsan рассказывает о том, как слепая вера в источник пакета может быть использована злоумышленниками.

https://proglib.io/w/9bf59ded

Перевод

Правильный тон задает сообщество и разработчики языка Go в плане безопасности. Так, недавно вышел черновой вариант базы данных уязвимостей Go, который представил описание записей об известных уязвимостях импортируемых (неосновных) пакетов Go в общедоступных модулях 👇.

Черновой вариант базы данных уязвимостей Go

Представлен документ, содержащий записи об известных уязвимостях импортируемых (неосновных) пакетов Go в общедоступных модулях, которые будет включать база данных. Данная база данных должна предоставить разработчикам Go надежный способ оповещения об известных недостатках безопасности, влияющих на их приложения.

https://proglib.io/w/d94002bd

#security

Если вы когда-нибудь задумывались, как OAuth 2.0 работает «под капотом» — посмотрите это. Автор статьи рассматривает все потоки OAuth 2.0 с использованием простых и понятных файлов GIF, а также короткого текстового описания.

#pentest #bugbounty

От ошибки 500 Internal Server Error до захвата учетной записи

В статье описан путь, который исследователь прошел для захвата пользовательского аккаунта, используя обход Cloudflare WAF и Content Security Policy, а также Google Analytics для извлечения токенов сеанса.

https://proglib.io/w/e522091c

#pentest

Writeup Test lab 15 от Pentestit под кодовым названием «Who is the n0v1ch0k».

Напомним, что ребята делают уникальные лаборатории, которые позволяют закрепить навыки в тестировании на проникновение на практике. Ранее мы публиковали ссылки на описание решений предыдущих лабораторий.

#pentest #bugbounty

С появлением NodeJS JavaScript приобрел популярность как серверный язык, что при худшем раскладе позволяет злоумышленнику потенциально выполнить произвольный код в контексте сервера и взаимодействовать с файловой системой.

Не стоит также забывать про отказ в обслуживании, реализованный путем остановки процесса или входа в бесконечный цикл, т. к. NodeJS работает в одном потоке. Давайте разберемся, из-за чего возникают данные уязвимости, как их проэксплуатировать и как защититься.

https://proglib.io/w/6146ba12

#bugbounty #writeup

Очередной отчет о найденном баге в инфраструктуре Facebook. На этот раз исследователь выявил ошибку, которая позволяет захватить учетные записи Facebook / Instagram из-за отсутствия проверки URL-пути в параметре fallbackredirecturi, указанном в конечных точках потока OAuth.

Суммарный профит от Bug Bounty программы — 42 000💲.

https://proglib.io/w/cb42fd2f

#security

Неправильная обработка email-адреса может сыграть ключевую роль в безопасности приложения. Давайте разберёмся, какой должна быть правильная логика проверки электронной почты.

https://proglib.io/w/7382ff10

​​Что нового представил Microsoft? 🤔

https://proglib.io/w/f0c2b291

#pentest #bugbounty #security

Небезопасная десериализация: понимание и выявление.

https://proglib.io/w/1680205f