Please open Telegram to view this post
VIEW IN TELEGRAM
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
🩷👨💻 Пока влюбленные шлют друг другу валентинки, айтишники отмечают свой профессиональный праздник. 14 февраля считается неофициальным днем компьютерщика.
🤦♂️ Так совпало, что именно в этот день в 1946 году общественности был продемонстрирован первый работающий электронный компьютер ENIAC I. Именно к этому событию приурочено празднование.
💬 А ведь раньше действительно айтишников называли компьютерщиками… Или кого там так называли? Кто винду мог переустановить?
🤦♂️ Так совпало, что именно в этот день в 1946 году общественности был продемонстрирован первый работающий электронный компьютер ENIAC I. Именно к этому событию приурочено празднование.
💬 А ведь раньше действительно айтишников называли компьютерщиками… Или кого там так называли? Кто винду мог переустановить?
Многие багхантеры знакомы с пассивным и активным сканерами Burp. Это очень полезные инструменты, но при их использовании очень многое остается за кулисами, в том числе случаются ложные срабатывания.
Как быть? Объединить автоматическое сканирование с ручным тестированием и изучить результаты обоих. Автоматизировать сканирование можно с помощью следующих расширений и встроенных инструментов:
🔧 BChecks
🔧 Burp Bounty (Pro)
🔧 Error Message Checks (Pro)
🔧 Response Grepper
🔧 Logger++
🛠 Passive scanner (Pro)
🛠 Passive crawler
👉 Подробнее
#tools #pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
⌨️ Пример однострочника для быстрого обнаружения XSS в PHP-файлах:
#bugbounty #tips
rg --no-heading "echo.*\\\$_GET" | grep "\.php:" | grep -v -e "(\$_GET" -e "( \$_GET" -e "esc_" -e "admin_url" -e "(int)" -e htmlentities
#bugbounty #tips
💸 Рост или падение? Изменение зарплат в IT за 2023 год
Чтобы разобраться в этом вопросе, «Библиотека программиста» решила провести опрос среди читателей издания. Мы хотим понять, выросли ли ваши зарплаты в 2023 году и если да, то на сколько процентов. Или может быть наоборот — ваши доходы снизились на фоне кризисных явлений в экономике?
Примите участие в нашем коротком опросе и поделитесь своим мнением! Вместе мы проанализируем текущую ситуацию на рынке труда в IT-сфере и поймем, что ждёт эту отрасль дальше. Ждём ваших ответов!
Опрос займёт у вас примерно 4 минуты.
👉 Ссылка на опрос
Чтобы разобраться в этом вопросе, «Библиотека программиста» решила провести опрос среди читателей издания. Мы хотим понять, выросли ли ваши зарплаты в 2023 году и если да, то на сколько процентов. Или может быть наоборот — ваши доходы снизились на фоне кризисных явлений в экономике?
Примите участие в нашем коротком опросе и поделитесь своим мнением! Вместе мы проанализируем текущую ситуацию на рынке труда в IT-сфере и поймем, что ждёт эту отрасль дальше. Ждём ваших ответов!
Опрос займёт у вас примерно 4 минуты.
👉 Ссылка на опрос
📦 HTB Clicker: инжектим команды через Perl
📦 HTB RegistryTwo: эксплуатируем уязвимости Java RMI для полного захвата хоста
📦 HTB Keeper: собираем мастер-пароль KeePass из дампа памяти процесса
📦 HTB Builder: эксплуатируем CVE-2024-23897, недавнюю уязвимость Jenkins
#writeup #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
В своём письме Максим рассказал, что не работает в F5, владеющей nginx, с 2022 года, с тех пор, как компания закрыла офис в Москве. После этого он договорился с руководителями, что будет продолжать разработку веб-сервера в качестве волонтёра.
Теперь, по его утверждениям, новые нетехнические менеджеры начали вмешиваться в разработку nginx, думая, что они лучше знают, как разрабатывать опенсорсные проекты. В частности, управление пытается вносить изменения в политику безопасности веб-сервера. При этом мнение разработчиков не учитывается.
Максим отмечает, что владельцы продукта могут вносить в него любые изменения, не спрашивая никого. Но последние действия менеджеров нарушают его соглашения с F5. Кроме того, он больше не может контролировать изменения, которые вносятся в nginx.
В ответ на это Дунин заявил, что больше не будет участвовать в разработке nginx. Вместо этого он создал FreeNginx, форк проекта, к которому приглашает присоединиться других разработчиков.
⚡️А вчера было опубликовано мини-интервью Максима, которое позволит узнать историю из первых уст.
#news
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔 Остаться или уйти? Оптимальный срок работы на одном месте
Вы любите свою работу, интересные проекты вам гарантированы, зарплата повышается каждый год. Но вот уже 5 лет вы трудитесь в одной и той же компании. Не пора ли что-то изменить, пока мотивация окончательно не улетучилась?
Многие опытные айтишники сталкиваются с такой дилеммой. С одной стороны, текущее место работы устраивает. С другой — хочется разнообразия, новых задач и знаний.
Должен ли современный IT-специалист менять работу чаще, чем раз в 5 лет? Или лучше наращивать экспертизу в рамках одной компании? А может дело совсем не в сроках, а в качестве задач и развитии карьеры?
👉 Расскажите о своём опыте в нашем новом опросе 👈
Вы любите свою работу, интересные проекты вам гарантированы, зарплата повышается каждый год. Но вот уже 5 лет вы трудитесь в одной и той же компании. Не пора ли что-то изменить, пока мотивация окончательно не улетучилась?
Многие опытные айтишники сталкиваются с такой дилеммой. С одной стороны, текущее место работы устраивает. С другой — хочется разнообразия, новых задач и знаний.
Должен ли современный IT-специалист менять работу чаще, чем раз в 5 лет? Или лучше наращивать экспертизу в рамках одной компании? А может дело совсем не в сроках, а в качестве задач и развитии карьеры?
👉 Расскажите о своём опыте в нашем новом опросе 👈
Исследователи из «Лаборатории Касперского» обнаружили целый кластер вредоносной активности, нацеленный на ОС Linux, который оставался незамеченным как минимум с 2020 года.
Дальнейший анализ показал, что вредонос выдавал себя за популярный мультиплатформенный менеджер загрузок. Погрузитесь подробнее в исследование, позволяющее проследить, как жертвы, сами того не зная, устанавливали себе зараженный deb-пакет менеджера загрузок с официального сайта.
👉 Читать
#security #linux #incidentresponse
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
⚒️ Как провести фаззинг REST API: гайд для этичного хакера
Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security, делится опытом фаззинг-тестирования API c помощью инструмента RESTler, имея на руках только спецификацию API.
👉 Читать
#pentest #tools #bugbounty
Владимир Исабеков, руководитель группы статического тестирования безопасности приложений в Swordfish Security, делится опытом фаззинг-тестирования API c помощью инструмента RESTler, имея на руках только спецификацию API.
👉 Читать
#pentest #tools #bugbounty
1️⃣ Истинный потенциал web race conditions
2️⃣ Эксплуатация hardened .NET deserialization
3️⃣ SMTP-контрабанда: подмена электронных писем по всему миру
4️⃣ Цепочки PHP-фильтров: чтение файла из error-based oracle
5️⃣ Использование несогласованности HTTP-парсеров
6️⃣ Эксплуатация уязвимостей HTTP request splitting
7️⃣ $150 000 за взлом Microsoft Teams на Pwn2Own
8️⃣ От Akamai до F5 и NTLM... с любовью
9️⃣ Cookie crumbles: нарушение и фиксация целостности веб-сессии
🔟 Взлом корневых серверов EPP для получения контроля над зонами
#pentest #bugbounty #hacking
Please open Telegram to view this post
VIEW IN TELEGRAM
📌 Ответы различаются в зависимости от модуля:
✔️ HackerGPT: настроенная версия Mixtral 8x7B с семантическим поиском по обученным данным
✔️ GPT-4 Turbo: OpenAI + HackerGPT
👉 chat.hackerai.co
#tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Мы стараемся быть лучше для вас. Какие материалы вы хотите больше видеть на канале?
Anonymous Poll
24%
Багбаунти
51%
Пентест
33%
Red Team
16%
Blue Team
35%
Работа в Linux (в том числе Kali)
44%
Хакерские и другие инструменты
25%
Безопасная разработка
21%
Реверс
25%
DevOps/DevSecOps
1%
Свой вариант (напишу в комментариях)
💬 Для чего используется заголовок Sec-WebSocket-Key?
Если клиент не получает от сервера правильно хешированную версию ключа, он не продолжает настройку веб-сокета.
#вопросы_с_собесов
key не имеет ничего общего с безопасностью или шифрованием. Поскольку веб-сокеты создаются с использованием начального HTTP-запроса, заголовок Sec-WebSocket-Key используется клиентом для проверки поддержки веб-сокета сервером. Если клиент не получает от сервера правильно хешированную версию ключа, он не продолжает настройку веб-сокета.
#вопросы_с_собесов
🤩 Он позволяет анализировать Github-репозитории через API на наличие коммитов с чувствительной информацией, которые не доступны через общедоступную историю Git или были намеренно удалены.
🤯 В чем сыр-бор? Иногда данные, содержащие секреты или информацию, которая не должна была быть опубликована, попадают в общедоступные репозитории на GitHub. Существуют способы удаления этих данных, но они не интуитивно понятны (спойлер: полностью удалить коммит можно только через службу поддержки GitHub).
🛠️ Разработчики инструмента показали пример репозитория с «удаленным» коммитом, который был восстановлен с помощью API.
#tools #research #recon
Please open Telegram to view this post
VIEW IN TELEGRAM