#security
Николай Мозговой (разработчик и ментор в Sigma Software) знакомит читателей с основными понятиями информационной безопасности для разработчиков.
https://proglib.io/w/12c121f4
Николай Мозговой (разработчик и ментор в Sigma Software) знакомит читателей с основными понятиями информационной безопасности для разработчиков.
https://proglib.io/w/12c121f4
ДОУ
Шпаргалка по кибербезопасности для разработчиков
Вопрос кибербезопасности должен быть предметом особого внимания не только для экспертов, но и для рядовых разработчиков. Однако не каждый проект может позволить себе отдельного специалиста по безопасности, поэтому весьма вероятно, что нести это бремя придется…
#bugbounty #security
nOtWASP bottom 10
Михаил Степанкин из PortSwigger подготовил полезный для любого исследователя безопасности список из 10 уязвимостей, которые просто не имеют смысла.
Информация для данного списка взята из многочисленных отчетов о пентестах и результатов поиска ошибок в рамках программ Bug Bounty, которые исследователи публикуют в надежде получить вознаграждение.
https://proglib.io/w/4b14251c
nOtWASP bottom 10
Михаил Степанкин из PortSwigger подготовил полезный для любого исследователя безопасности список из 10 уязвимостей, которые просто не имеют смысла.
Информация для данного списка взята из многочисленных отчетов о пентестах и результатов поиска ошибок в рамках программ Bug Bounty, которые исследователи публикуют в надежде получить вознаграждение.
https://proglib.io/w/4b14251c
PortSwigger Research
nOtWASP bottom 10: vulnerabilities that make you cry
Everyone's heard of the OWASP Top 10 - the often-cited list of major threats that every web developer should be conscious of. But if you cast your gaze across pentest reports and bug bounty findings,
#bugbounty #pentest
Шпаргалка-диаграмма, которая поможет с поиском ошибок в веб-приложениях, использующих двухфакторную аутентификацию. Аббревиатура OTP означает One Time Password (Одноразовый пароль).
Шпаргалка-диаграмма, которая поможет с поиском ошибок в веб-приложениях, использующих двухфакторную аутентификацию. Аббревиатура OTP означает One Time Password (Одноразовый пароль).
#pentest
Группа исследования уязвимостей Radware изучила список наиболее распространенных эксплойтов веб-сервисов 2020 года и представила в порядке убывания:
1. /ws/v1/cluster/apps/new-application
Apache Hadoop Unauthenticated Command Execution via YARN ResourceManager.
2. /manager/html
Apache Tomcat Manager Application Upload Authenticated Code Execution.
3. /level/15/exec/-/sh/run/CR
Cisco routers without authentication on the HTTP interface.
4. /admin/assets/js/views/login.js
Sangoma FreePBX – multiple vulnerabilities.
5. / ftptest.cgi?loginuse=&loginpas=
WIFICAM web camera – multiple vulnerabilities.
6. /service/extdirect
Sonatype Nexus Repository Manager – Remote Code Execution.
7. /solr/admin/info/system?wt=json
Apache Solr – Directory traversal vulnerability.
8. /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
PHPUnit testing framework for PHP – Remote Code Execution.
9. / hudson
Hudson continuous integration tool – multiple vulnerabilities.
Не забудьте проверить свои сервисы.
Группа исследования уязвимостей Radware изучила список наиболее распространенных эксплойтов веб-сервисов 2020 года и представила в порядке убывания:
1. /ws/v1/cluster/apps/new-application
Apache Hadoop Unauthenticated Command Execution via YARN ResourceManager.
2. /manager/html
Apache Tomcat Manager Application Upload Authenticated Code Execution.
3. /level/15/exec/-/sh/run/CR
Cisco routers without authentication on the HTTP interface.
4. /admin/assets/js/views/login.js
Sangoma FreePBX – multiple vulnerabilities.
5. / ftptest.cgi?loginuse=&loginpas=
WIFICAM web camera – multiple vulnerabilities.
6. /service/extdirect
Sonatype Nexus Repository Manager – Remote Code Execution.
7. /solr/admin/info/system?wt=json
Apache Solr – Directory traversal vulnerability.
8. /vendor/phpunit/phpunit/src/Util/PHP/eval-stdin.php
PHPUnit testing framework for PHP – Remote Code Execution.
9. / hudson
Hudson continuous integration tool – multiple vulnerabilities.
Не забудьте проверить свои сервисы.
Устал и хочется расслабиться?
Подписывайся на наш канал «Библиотека IT мемов», где ежедневно мы публикуем годные авторские IT-мемы.
Подписывайся на наш канал «Библиотека IT мемов», где ежедневно мы публикуем годные авторские IT-мемы.
#pentest #bugbounty
На видео подробно рассказан и показан процесс поиска Server Side XSS, которая в последствии привела к LFI (Local File Inclusion) и RCE.
https://proglib.io/w/90b9ddd2
На видео подробно рассказан и показан процесс поиска Server Side XSS, которая в последствии привела к LFI (Local File Inclusion) и RCE.
https://proglib.io/w/90b9ddd2
YouTube
XSS to LFI to RCE - Search for LFI everywhere!
Course: https://www.udemy.com/course/uncle-rats-bug-bounty-guide
▶️ YouTube: https://www.youtube.com/c/PinkDraconian
🎁 Patreon: https://www.patreon.com/PinkDraconian
🐦 Twitter: https://twitter.com/PinkDraconian
🎵 TikTok: https://www.tiktok.com/@pinkdraconian…
▶️ YouTube: https://www.youtube.com/c/PinkDraconian
🎁 Patreon: https://www.patreon.com/PinkDraconian
🐦 Twitter: https://twitter.com/PinkDraconian
🎵 TikTok: https://www.tiktok.com/@pinkdraconian…
#blueteam
Ребята из Ростелеком-Солар рассказывают, на какие уровни они делят злоумышленников. В статье описан взгляд на то, как изменились хакерский инструментарий и подходы к атакам, а также на что способны разные типы злоумышленников в зависимости от своей квалификации.
https://proglib.io/w/7b817a3e
Ребята из Ростелеком-Солар рассказывают, на какие уровни они делят злоумышленников. В статье описан взгляд на то, как изменились хакерский инструментарий и подходы к атакам, а также на что способны разные типы злоумышленников в зависимости от своей квалификации.
https://proglib.io/w/7b817a3e
Хабр
Модель угроз: как и зачем мы поделили хакеров на категории
Долгое время мы делили киберпреступников на две группы: любителей и профессионалов. Первые бомбили доступным ВПО и баловались мелким хулиганством. Вторые разраба...
Объявляем конкурс на самый интересный контент в телеграм-каналах Proglib!
Призовой фонд — 280 тысяч рублей.
Автор лучшего поста в отдельно взятом канале получает 20 тысяч рублей.
В каналах по языкам программирования, data science и мобильной разработке интересно увидеть топовые материалы по этим темам, в канале @progbook топовые рецензии на книги, в @proglibrary материалы по общим темам: проектирование, базы данных, linux, алгоритмы и структуры данных. Поощряются интерактивные форматы — авторские тесты, квизы, функционал которых встроен в Telegram, гифки, шпаргалки, неочевидные фишки.
Полный список каналов:
https://t.me/progbook
https://t.me/proglibrary
https://t.me/pyproglib
https://t.me/frontendproglib
https://t.me/javaproglib
https://t.me/dsproglib
https://t.me/phpproglib
https://t.me/cppproglib
https://t.me/mobileproglib
https://t.me/goproglib
https://t.me/csharpproglib
https://t.me/devopsslib
https://t.me/testerlib
https://t.me/hackproglib
Все посты будут с лайками и дизлайками и хэштегом #proglib_contest. Ссылки мы будем прогонять через наш сокращатель, будут браться в расчет лайки, дизлайки, охваты, клики по ссылкам. Чем больше лайков/охватов/кликов по ссылкам в публикации, тем больше шансов статьи победителем в конкурсе. Присылайте посты боту @proglib_contest_bot с указанием канала, на который идет публикация. Юридическая информация здесь.
Призовой фонд — 280 тысяч рублей.
Автор лучшего поста в отдельно взятом канале получает 20 тысяч рублей.
В каналах по языкам программирования, data science и мобильной разработке интересно увидеть топовые материалы по этим темам, в канале @progbook топовые рецензии на книги, в @proglibrary материалы по общим темам: проектирование, базы данных, linux, алгоритмы и структуры данных. Поощряются интерактивные форматы — авторские тесты, квизы, функционал которых встроен в Telegram, гифки, шпаргалки, неочевидные фишки.
Полный список каналов:
https://t.me/progbook
https://t.me/proglibrary
https://t.me/pyproglib
https://t.me/frontendproglib
https://t.me/javaproglib
https://t.me/dsproglib
https://t.me/phpproglib
https://t.me/cppproglib
https://t.me/mobileproglib
https://t.me/goproglib
https://t.me/csharpproglib
https://t.me/devopsslib
https://t.me/testerlib
https://t.me/hackproglib
Все посты будут с лайками и дизлайками и хэштегом #proglib_contest. Ссылки мы будем прогонять через наш сокращатель, будут браться в расчет лайки, дизлайки, охваты, клики по ссылкам. Чем больше лайков/охватов/кликов по ссылкам в публикации, тем больше шансов статьи победителем в конкурсе. Присылайте посты боту @proglib_contest_bot с указанием канала, на который идет публикация. Юридическая информация здесь.
Telegram
Книги для программистов
Все о книгах из мира IT.
По рекламе: @proglib_adv
Учиться у нас: https://proglib.io/w/de94a698
Для обратной связи: @proglibrary_feeedback_bot
РКН: https://www.gosuslugi.ru/snet/67931954509aba565214777d
По рекламе: @proglib_adv
Учиться у нас: https://proglib.io/w/de94a698
Для обратной связи: @proglibrary_feeedback_bot
РКН: https://www.gosuslugi.ru/snet/67931954509aba565214777d
#bugbounty #pentest #tools
Autowasp — расширение для Burp Suite, которое создает вкладку, в которой вы можете загрузить контрольный список OWASP Web Security Testing Guide (WSTG) или ваш собственный контрольный список.
Данный инструмент поможет пентестерам понять лучшие практики безопасности веб-приложений и автоматизировать проверки OWASP WSTG.
https://proglib.io/w/9fd11294
Autowasp — расширение для Burp Suite, которое создает вкладку, в которой вы можете загрузить контрольный список OWASP Web Security Testing Guide (WSTG) или ваш собственный контрольный список.
Данный инструмент поможет пентестерам понять лучшие практики безопасности веб-приложений и автоматизировать проверки OWASP WSTG.
https://proglib.io/w/9fd11294
Полный список всех доступных NSE-сценариев (Nmap Scripting Language), организованный в интерактивную таблицу со всей необходимой информацией в одном месте.
https://proglib.io/w/1da4f12d
https://proglib.io/w/1da4f12d
InfosecMatter
Nmap NSE Library - InfosecMatter
List of all Nmap NSE scripts with detailed information and usage examples.
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность pinned «Объявляем конкурс на самый интересный контент в телеграм-каналах Proglib! Призовой фонд — 280 тысяч рублей. Автор лучшего поста в отдельно взятом канале получает 20 тысяч рублей. В каналах по языкам программирования, data science и мобильной разработке интересно…»
#security #pentest
Если вы пишите на PHP, то вам стоит обратить внимание на данный материал. В интервью Антон Прохоров (Специалист по тестированию на проникновение в компании BI.ZONE) освещает следующие темы:
- Путь в безопасность и текущая деятельность в BI.ZONE
- Принципы проведения пентестов
- Взгляд на уязвимости PHP относительно других языков и многое другое
Если вы пишите на PHP, то вам стоит обратить внимание на данный материал. В интервью Антон Прохоров (Специалист по тестированию на проникновение в компании BI.ZONE) освещает следующие темы:
- Путь в безопасность и текущая деятельность в BI.ZONE
- Принципы проведения пентестов
- Взгляд на уязвимости PHP относительно других языков и многое другое
Хабр
Слабые места PHP: думай как хакер
Какие уязвимости можно найти в типичном PHP-проекте? Удивительно, но любые — от слабых мест и уязвимостей в коде никто не застрахован. Чем быстрее мы их найдем,...
Есть опыт и знания в IT, которыми Вы хотите поделиться?
Станьте автором технических статей вместе с Proglib и получайте достойное вознаграждение!
Библиотека программиста приглашает к сотрудничеству внештатных авторов,
которые хотят поделиться знаниями, пропиарить свой авторский блог или просто заработать.
Мы предлагаем удаленную работу, гибкий график, возможность зарабатывать до 12к за статью и выплаты 2 раза в месяц.
Мы не ограничиваем в количестве статей.
Постоянным авторам предусмотрены премии за лояльность.
Интересующие направления для написания статей:
• DevOps
• Блокчейн
• Информационная безопасность
• Ruby on Rails
• C/ C++/ C#
• Java
• Go разработка
• Разработка игр
• Android-разработка
• iOS-разработка
• Системная аналитика
• Тестирование ПО
• Виртуальная реальность
• 1С
• Business Intelligence
• Интернет вещей
• Системы и сети
• IT Management
Оставьте заявку на https://proglib.io/w/692ca1cd и мы свяжемся с вами!
Станьте автором технических статей вместе с Proglib и получайте достойное вознаграждение!
Библиотека программиста приглашает к сотрудничеству внештатных авторов,
которые хотят поделиться знаниями, пропиарить свой авторский блог или просто заработать.
Мы предлагаем удаленную работу, гибкий график, возможность зарабатывать до 12к за статью и выплаты 2 раза в месяц.
Мы не ограничиваем в количестве статей.
Постоянным авторам предусмотрены премии за лояльность.
Интересующие направления для написания статей:
• DevOps
• Блокчейн
• Информационная безопасность
• Ruby on Rails
• C/ C++/ C#
• Java
• Go разработка
• Разработка игр
• Android-разработка
• iOS-разработка
• Системная аналитика
• Тестирование ПО
• Виртуальная реальность
• 1С
• Business Intelligence
• Интернет вещей
• Системы и сети
• IT Management
Оставьте заявку на https://proglib.io/w/692ca1cd и мы свяжемся с вами!
#pentest #redteam #security
Слышали когда-нибудь об атаке через цепочку поставок?
Ее суть заключается в том, что сервис и программа, которые кем-то используются долгое время, внезапно стали вредоносными.
Важную роль в данном случае играет человеческий фактор, ведь, например, между вами (как исполнителем) и заказчиком возникают определенные доверительные отношения. Таким образом, злоумышленник может получить доступ к целевой инфраструктуре через вас.
Так и получилось в компании Codecov. Взломано решение для разработчиков ПО, а значит есть шанс, что код клиентов Codecov также мог быть модифицирован. В числе потенциальных пострадавших — крупные компании, включая Atlassian, P&G и GoDaddy. Читать подробнее.
Слышали когда-нибудь об атаке через цепочку поставок?
Ее суть заключается в том, что сервис и программа, которые кем-то используются долгое время, внезапно стали вредоносными.
Важную роль в данном случае играет человеческий фактор, ведь, например, между вами (как исполнителем) и заказчиком возникают определенные доверительные отношения. Таким образом, злоумышленник может получить доступ к целевой инфраструктуре через вас.
Так и получилось в компании Codecov. Взломано решение для разработчиков ПО, а значит есть шанс, что код клиентов Codecov также мог быть модифицирован. В числе потенциальных пострадавших — крупные компании, включая Atlassian, P&G и GoDaddy. Читать подробнее.
Хабр
Security Week 16: атака на цепочку поставок в компании Codecov
В четверг 15 апреля компания Codecov опубликовала сообщение о взломе собственной инфраструктуры и потенциальной утечке данных у клиентов. Главный продукт Codecov...
Библиотека программиста планирует организовать серию офлайн-мероприятий.
Мы создали опрос, чтобы учесть пожелания и интересы подписчиков, а также какие темы наиболее интересны. Опрос займет не более 3-х минут и пройти его можно тут.
Мы создали опрос, чтобы учесть пожелания и интересы подписчиков, а также какие темы наиболее интересны. Опрос займет не более 3-х минут и пройти его можно тут.
Google Docs
Какие мероприятия наиболее интересны?
#pentest #bugbounty
Фундаментальный чек-лист по тестированию веб-приложений на проникновение:
- Часть 1
- Часть 2
Фундаментальный чек-лист по тестированию веб-приложений на проникновение:
- Часть 1
- Часть 2
DEV Community
Web Application Penetration Test Checklist | Part - 01
In this article I am going to share a checklist which you can use when you are doing a penetration te...
tg_image_3057802825.jpeg
966.5 KB
#redteam #pentest #cheatsheet
Боковое или горизонтальное перемещение (англ. Lateral Movement) — это техника, используемая злоумышленником для компрометации или получения контроля над одним активом в сети, и дальнейшего проникновения от этого узла к другим в той же сети. На шпаргалке показаны основные источники информации, которые позволят в значительной степени ускорить этап бокового перемещения.
Боковое или горизонтальное перемещение (англ. Lateral Movement) — это техника, используемая злоумышленником для компрометации или получения контроля над одним активом в сети, и дальнейшего проникновения от этого узла к другим в той же сети. На шпаргалке показаны основные источники информации, которые позволят в значительной степени ускорить этап бокового перемещения.
#hacktivity #bugbounty
Исследователи представили текущие результаты участия в программе Bug Bounty от Telegram.
https://proglib.io/w/e9638866
Исследователи представили текущие результаты участия в программе Bug Bounty от Telegram.
https://proglib.io/w/e9638866
Medium
Telegram bug bounties: XSS, privacy issues, official bot exploitation and more…
Insufficient verification over callback_data, XSS Telegram.org, Privacy of Profile Pictures, Sticker crash, issues on bugs.telegram.org
#security
SOP и CORS
Мы с вами уже разбирались с такими механизмами безопасности на стороне клиента, как SOP (политика одинакового источника) и CORS (совместное использование ресурсов между разными источниками).
Сегодняшний материал проведёт вас по истории и эволюции данных механизмов. Вы увидите разные типы доступа между различными источниками, а также несколько оптимальных решений работы с ними.
https://proglib.io/w/1b645540
SOP и CORS
Мы с вами уже разбирались с такими механизмами безопасности на стороне клиента, как SOP (политика одинакового источника) и CORS (совместное использование ресурсов между разными источниками).
Сегодняшний материал проведёт вас по истории и эволюции данных механизмов. Вы увидите разные типы доступа между различными источниками, а также несколько оптимальных решений работы с ними.
https://proglib.io/w/1b645540
Хабр
CORS для чайников: история возникновения, как устроен и оптимальные методы работы
В этой статье подробно разобрана история и эволюция политики одинакового источника и CORS, а также расписаны разные типы доступа между различными источниками,...
#pentest #bugbounty
Интереснее интервью с багхантером может быть только анализ его работы в режиме live. На видео демонстрируется подход известного багхантера (Tom Hudson или tomnomnom) к разведке и автоматизации, а также практика работы с инструментами в рамках Bug Bounty программы Shopify.
https://proglib.io/w/ad75710b
Интереснее интервью с багхантером может быть только анализ его работы в режиме live. На видео демонстрируется подход известного багхантера (Tom Hudson или tomnomnom) к разведке и автоматизации, а также практика работы с инструментами в рамках Bug Bounty программы Shopify.
https://proglib.io/w/ad75710b
YouTube
Live Recon and Automation on Shopify's Bug Bounty Program with @TomNomNomDotCom
Purchase my Bug Bounty Course here 👉🏼 bugbounty.nahamsec.training
Live Every Friday, Saturday Sunday and Monday on Twitch:
https://twitch.tv/nahamsec
Free $100 DigitalOcean Credit:
https://m.do.co/c/3236319b9d0b
Follow me on social media:
https://twitter.com/nahamsec…
Live Every Friday, Saturday Sunday and Monday on Twitch:
https://twitch.tv/nahamsec
Free $100 DigitalOcean Credit:
https://m.do.co/c/3236319b9d0b
Follow me on social media:
https://twitter.com/nahamsec…
#bugbounty #pentest
Если у вас еще остались пробелы относительно эксплуатации XSS-атак, то данное видео их восполнит.
Вы увидите различные методы поиска XSS, включая аудит кода и тестирование методом черного ящика.
https://proglib.io/w/8746957f
Если у вас еще остались пробелы относительно эксплуатации XSS-атак, то данное видео их восполнит.
Вы увидите различные методы поиска XSS, включая аудит кода и тестирование методом черного ящика.
https://proglib.io/w/8746957f
YouTube
What the Hack: What Is XSS and How to Find It
In this video I aim to help you understand what XSS (Cross Site Scripting) is, understand how to avoid some common mistakes, myths and misconceptions people think about it and we'll be spending a lot of time discussing techniques for finding XSS, covering…