🤯 Про нашумевший тред парня, который нашел жену из 5239 девушек с помощью ChatGPT, слышно из каждого утюга. Поэтому интересна уже не сама история, а то, как люди на нее реагируют. А люди обычно разбираются, правда это или хайп, а также делают мемы.
🤦 Так вот, здесь айтишник с технической точки зрения оценил этот самый тред. Спойлер: либо парень гений, либо врёт.
Ну а мемы прикрепили к посту 😉
#назлобудня
🤦 Так вот, здесь айтишник с технической точки зрения оценил этот самый тред. Спойлер: либо парень гений, либо врёт.
Ну а мемы прикрепили к посту 😉
#назлобудня
😈 Даркнет: как устроен теневой рынок труда
Рассказываем, как устроен теневой рынок даркнета, каких ИТ-специалистов там ищут и какую зарплату предлагают.
🔗 Читать статью
🔗 Зеркало
Рассказываем, как устроен теневой рынок даркнета, каких ИТ-специалистов там ищут и какую зарплату предлагают.
🔗 Читать статью
🔗 Зеркало
🛠 Шаблоны Nuclei в январе 2024: что нового для этичного хакера
⚡️ За месяц команда ProjectDiscovery и сообщество написали 157 новых шаблонов Nuclei, из которых 36 CVE и 75 для сканирования багов, связанных с локальным повышением привилегий:
✅ CVE-2023-22527: Atlassian Confluence — Remote Code Execution
✅ CVE-2023-44353: Adobe ColdFusion WDDX Deserialization Gadgets
✅ CVE-2023-51467: Apache OFBiz < 18.12.11 — Remote Code Execution
✅ CVE-2023-7028: GitLab — Account Takeover via Password Reset
✅ CVE-2024-0204: Fortra GoAnywhere MFT — Authentication Bypass
✅ CVE-2024-23897: Jenkins < 2.441 — Arbitrary File Read
✅ CVE-2023-50917: MajorDoMo thumb.php — OS Command Injection
✅ CVE-2023-46805: Ivanti ICS — Authentication Bypass
✅ CVE-2023-47211: ManageEngine OpManager — Directory Traversal
✅ CVE-2023-6063: WP Fastest Cache 1.2.2 - Unauthenticated SQL Injection
#news #pentest #bugbounty #CVE
⚡️ За месяц команда ProjectDiscovery и сообщество написали 157 новых шаблонов Nuclei, из которых 36 CVE и 75 для сканирования багов, связанных с локальным повышением привилегий:
✅ CVE-2023-22527: Atlassian Confluence — Remote Code Execution
✅ CVE-2023-44353: Adobe ColdFusion WDDX Deserialization Gadgets
✅ CVE-2023-51467: Apache OFBiz < 18.12.11 — Remote Code Execution
✅ CVE-2023-7028: GitLab — Account Takeover via Password Reset
✅ CVE-2024-0204: Fortra GoAnywhere MFT — Authentication Bypass
✅ CVE-2024-23897: Jenkins < 2.441 — Arbitrary File Read
✅ CVE-2023-50917: MajorDoMo thumb.php — OS Command Injection
✅ CVE-2023-46805: Ivanti ICS — Authentication Bypass
✅ CVE-2023-47211: ManageEngine OpManager — Directory Traversal
✅ CVE-2023-6063: WP Fastest Cache 1.2.2 - Unauthenticated SQL Injection
#news #pentest #bugbounty #CVE
♟На Хабре появился перевод статьи о той самой XSS-ке на шахматном сайте. Врывайтесь 👇
🔗 Читать
#bugbounty #pentest #writeup
🔗 Читать
#bugbounty #pentest #writeup
Please open Telegram to view this post
VIEW IN TELEGRAM
🤩 Внимательный читатель обратил внимание, что с недавних пор сканер Nuclei перестал быть обычным веб-сканером. Теперь это в том числе инструмент, который позволяет сканировать уязвимости Local Privilege Escalation в Linux. Для запуска просто активируйте новые шаблоны
👉 Подробнее
#tools #pentest #recon
-code вместе с опциями -itags local. 👉 Подробнее
#tools #pentest #recon
Please open Telegram to view this post
VIEW IN TELEGRAM
Иногда для решения задачи не требуется использовать сторонние инструменты, а автоматизировать рутинную работу или обойти средства защиты можно с использованием регулярных выражений.
📌 В гайде рассмотрены:
◾️Основы регулярных выражений
◾️Практика использования регулярных выражений
◾️Практика обхода средств контроля безопасности на основе регулярных выражений
#practice #pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
🏔 Эпикфейл: карьера катится к чертям
🤦♂️ У всех нас случались провалы в карьере, о которых не хочется распространяться. Неловкий момент на собеседовании, провал проекта из-за глупой ошибки, конфликт с начальством — такие ситуации хочется поскорее забыть. Однако часто именно они дают нам самые ценные уроки и закаляют как профессионалов.
📝 Поделитесь своей историей карьерного провала в нашем новом опросе и расскажите, к чему он привел в итоге. Быть может, эта ошибка позволила вам пересмотреть свой путь и выбрать более подходящую профессию? А может, вы сделали правильные выводы и сейчас добились успеха?
👉 Поделиться историей
🤦♂️ У всех нас случались провалы в карьере, о которых не хочется распространяться. Неловкий момент на собеседовании, провал проекта из-за глупой ошибки, конфликт с начальством — такие ситуации хочется поскорее забыть. Однако часто именно они дают нам самые ценные уроки и закаляют как профессионалов.
📝 Поделитесь своей историей карьерного провала в нашем новом опросе и расскажите, к чему он привел в итоге. Быть может, эта ошибка позволила вам пересмотреть свой путь и выбрать более подходящую профессию? А может, вы сделали правильные выводы и сейчас добились успеха?
👉 Поделиться историей
📌 В случае OSRF запросы исходят непосредственно с уязвимого приложения, и атакующий контролирует, куда направляются эти запросы.
🔎 О том, где искать и как эксплуатировать OSRF, читайте на GitHub. И обратите внимание на весь репозиторий автора — там сосредоточено много полезных знаний для багхантера.
#bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Tips_and_Tricks_for_Effective_SQL_Injection_Testing_using_SQLMap.pdf
653.1 KB
Да, в 2024-м еще встречаются SQL-инъекции. Главное — уметь правильно использовать инструменты, которые находятся у вас под рукой. А там и WAF обойдёте, и баги найдёте.
👉 Читайте на Medium или в PDF
#pentest #tips #bugbounty #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
🤦♂️ Есть такое слово «надо», которое отравляет многим жизнь. Надо получить вышку, надо жениться до стольких-то лет и родить детей до стольких-то, надо зарабатывать столько-то и еще много-много «надо».
❤️ Как с этим жить? Попробуйте вместо «надо» поставить «полезно». И если бесполезно — то не надо!
💬 А какое слово отравляет вашу жизнь? Поделитесь в комментариях 👇
❤️ Как с этим жить? Попробуйте вместо «надо» поставить «полезно». И если бесполезно — то не надо!
💬 А какое слово отравляет вашу жизнь? Поделитесь в комментариях 👇
📌 Охотники за ошибками, ваш выход. Тут у Яндекса можно попробовать найти уязвимости в умных устройствах и получить награду в миллион за найденные ошибки в продуктах компании. Кто рискнёт?
🔎 Вот инфа подробнее: Яндекс расширил программу Bug Bounty и добавил туда умные устройства, в том числе самые новые — Станцию Дуо Макс, Миди и ТВ Станции. Максимальная сумма вознаграждения увеличилась до миллиона.
#bugbounty #news
🔎 Вот инфа подробнее: Яндекс расширил программу Bug Bounty и добавил туда умные устройства, в том числе самые новые — Станцию Дуо Макс, Миди и ТВ Станции. Максимальная сумма вознаграждения увеличилась до миллиона.
#bugbounty #news
🤦♂️🔐 1 февраля этого года компания Ivanti объявила о закрытии серьезных уязвимостей в своих продуктах Ivanti Connect Secure и Ivanti Policy Secure. Эти уязвимости, обнаруженные в декабре 2023 года, уже активно эксплуатировались злоумышленниками, представляя значительную угрозу для VPN-серверов. Сложности с разработкой патча привели к тому, что CISA потребовало отключить уязвимые решения за день до выпуска обновлений. Это уже второй серьезный инцидент с продуктами Ivanti, предыдущий произошел в августе 2023 года.
Команда Volexity обнаружила две уязвимости (CVE-2023-46805 и CVE-2024-21887) в VPN-сервере, позволяющие обходить аутентификацию и выполнять произвольные команды. После публикации информации об уязвимостях количество атак значительно увеличилось. Ivanti предложила временные решения, но некоторые из них были обойдены атакующими. В конечном итоге, для полной защиты требовалась переустановка ПО с нуля и установка патча.
Естественно, команду Assetnote эти уязвимости заинтересовали. Их исследования, реверс прошивки и многое другое — под катом:
⚡️High Signal Detection and Exploitation of Ivanti's Pulse Connect Secure Auth Bypass RCE
⚡️Ivanti's Pulse Connect Secure Auth Bypass Round Two
#pentest #reverse #CVE
Команда Volexity обнаружила две уязвимости (CVE-2023-46805 и CVE-2024-21887) в VPN-сервере, позволяющие обходить аутентификацию и выполнять произвольные команды. После публикации информации об уязвимостях количество атак значительно увеличилось. Ivanti предложила временные решения, но некоторые из них были обойдены атакующими. В конечном итоге, для полной защиты требовалась переустановка ПО с нуля и установка патча.
Естественно, команду Assetnote эти уязвимости заинтересовали. Их исследования, реверс прошивки и многое другое — под катом:
⚡️High Signal Detection and Exploitation of Ivanti's Pulse Connect Secure Auth Bypass RCE
⚡️Ivanti's Pulse Connect Secure Auth Bypass Round Two
#pentest #reverse #CVE
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Сравниваете ли вы свои карьерные достижения (повышение грейда) с успехами других людей?
Anonymous Poll
22%
Да — от установки «быть не хуже других» не убежишь
23%
Стараюсь не делать этого, т. к. пользы нет, а вреда достаточно
41%
Сравнений не избежать, но я стараюсь вдохновляться на действия и мотивировать себя
11%
Да, но в итоге чувствую только недовольство по отношению к другим и себе
21%
Сравниваю, но никому не завидую
9%
Сравниваю и наслаждаюсь своей крутостью
5%
Свой вариант (напишу в комментариях)
Создатель SSH Tatu Ylonen написал первую версию SSH весной 1995 года, чтобы заменить telnet (порт 23) и ftp (порт 21). Порт 22 в то время не был занят.
Ylonen просто обратился в IANA, которой тогда управляли Jon Postel и Joyce K. Reynolds, отправив письмо с просьбой о выделении порта 22 для SSH, и на следующий день получил утвердительный ответ 🤷♂️
Please open Telegram to view this post
VIEW IN TELEGRAM
Ssh
The story of the SSH port is 22.
The SSH port is 22. This is the story of how it got that port number. And practical configuration instructions.
Как думаете, через сколько дней в sudo для винды появятся первые баги?👇
Forwarded from Библиотека шарписта | C#, F#, .NET, ASP.NET
😱 Команда Microsoft представила утилиту sudo для Windows
🔐 Кто работал в *nix, знают, что sudo позволяет выполнять привилегированные команды обычным пользователям без необходимости ввода пароля суперпользователя.
⚒️ Sudo для Windows — это новый способ запуска команд с повышенными привилегиями прямо в терминале пользователя. Казалось бы, отличная новость, — операционная система развивается. Но в случае с Microsoft всегда в сообществе происходит переполох.
🤯 Мейнтейнеры оригинального проекта sudo вместе с сообществом решили перенести Word в OpenBSD, при этом повторить путь Microsoft:
🔸Не заботиться о совместимом поведении
🔸Не заботиться о товарных знаках или де-факто товарных знаках
🔸Не спрашивать первоначальные продуктовые команды, все ли в порядке
🔐 Кто работал в *nix, знают, что sudo позволяет выполнять привилегированные команды обычным пользователям без необходимости ввода пароля суперпользователя.
⚒️ Sudo для Windows — это новый способ запуска команд с повышенными привилегиями прямо в терминале пользователя. Казалось бы, отличная новость, — операционная система развивается. Но в случае с Microsoft всегда в сообществе происходит переполох.
🤯 Мейнтейнеры оригинального проекта sudo вместе с сообществом решили перенести Word в OpenBSD, при этом повторить путь Microsoft:
🔸Не заботиться о совместимом поведении
🔸Не заботиться о товарных знаках или де-факто товарных знаках
🔸Не спрашивать первоначальные продуктовые команды, все ли в порядке
📌 Токен кэшировался в случае следующего запроса:
https://chat.openai.com/share/%2F..%2Fapi/auth/session?cachebuster=123 #bugbounty #writeup
Please open Telegram to view this post
VIEW IN TELEGRAM