Объявляем конкурс на самый интересный контент в телеграм-каналах Proglib!
Призовой фонд — 280 тысяч рублей.
Автор лучшего поста в отдельно взятом канале получает 20 тысяч рублей.
В каналах по языкам программирования, data science и мобильной разработке интересно увидеть топовые материалы по этим темам, в канале @progbook топовые рецензии на книги, в @proglibrary материалы по общим темам: проектирование, базы данных, linux, алгоритмы и структуры данных. Поощряются интерактивные форматы — авторские тесты, квизы, функционал которых встроен в Telegram, гифки, шпаргалки, неочевидные фишки.
Полный список каналов:
https://t.me/progbook
https://t.me/proglibrary
https://t.me/pyproglib
https://t.me/frontendproglib
https://t.me/javaproglib
https://t.me/dsproglib
https://t.me/phpproglib
https://t.me/cppproglib
https://t.me/mobileproglib
https://t.me/goproglib
https://t.me/csharpproglib
https://t.me/devopsslib
https://t.me/testerlib
https://t.me/hackproglib
Все посты будут с лайками и дизлайками и хэштегом #proglib_contest. Ссылки мы будем прогонять через наш сокращатель, будут браться в расчет лайки, дизлайки, охваты, клики по ссылкам. Чем больше лайков/охватов/кликов по ссылкам в публикации, тем больше шансов статьи победителем в конкурсе. Присылайте посты боту @proglib_contest_bot с указанием канала, на который идет публикация. Юридическая информация здесь.
Призовой фонд — 280 тысяч рублей.
Автор лучшего поста в отдельно взятом канале получает 20 тысяч рублей.
В каналах по языкам программирования, data science и мобильной разработке интересно увидеть топовые материалы по этим темам, в канале @progbook топовые рецензии на книги, в @proglibrary материалы по общим темам: проектирование, базы данных, linux, алгоритмы и структуры данных. Поощряются интерактивные форматы — авторские тесты, квизы, функционал которых встроен в Telegram, гифки, шпаргалки, неочевидные фишки.
Полный список каналов:
https://t.me/progbook
https://t.me/proglibrary
https://t.me/pyproglib
https://t.me/frontendproglib
https://t.me/javaproglib
https://t.me/dsproglib
https://t.me/phpproglib
https://t.me/cppproglib
https://t.me/mobileproglib
https://t.me/goproglib
https://t.me/csharpproglib
https://t.me/devopsslib
https://t.me/testerlib
https://t.me/hackproglib
Все посты будут с лайками и дизлайками и хэштегом #proglib_contest. Ссылки мы будем прогонять через наш сокращатель, будут браться в расчет лайки, дизлайки, охваты, клики по ссылкам. Чем больше лайков/охватов/кликов по ссылкам в публикации, тем больше шансов статьи победителем в конкурсе. Присылайте посты боту @proglib_contest_bot с указанием канала, на который идет публикация. Юридическая информация здесь.
Telegram
Книги для программистов
Все о книгах из мира IT.
По рекламе: @proglib_adv
Учиться у нас: https://proglib.io/w/de94a698
Для обратной связи: @proglibrary_feeedback_bot
РКН: https://www.gosuslugi.ru/snet/67931954509aba565214777d
По рекламе: @proglib_adv
Учиться у нас: https://proglib.io/w/de94a698
Для обратной связи: @proglibrary_feeedback_bot
РКН: https://www.gosuslugi.ru/snet/67931954509aba565214777d
#bugbounty #pentest #tools
Autowasp — расширение для Burp Suite, которое создает вкладку, в которой вы можете загрузить контрольный список OWASP Web Security Testing Guide (WSTG) или ваш собственный контрольный список.
Данный инструмент поможет пентестерам понять лучшие практики безопасности веб-приложений и автоматизировать проверки OWASP WSTG.
https://proglib.io/w/9fd11294
Autowasp — расширение для Burp Suite, которое создает вкладку, в которой вы можете загрузить контрольный список OWASP Web Security Testing Guide (WSTG) или ваш собственный контрольный список.
Данный инструмент поможет пентестерам понять лучшие практики безопасности веб-приложений и автоматизировать проверки OWASP WSTG.
https://proglib.io/w/9fd11294
Полный список всех доступных NSE-сценариев (Nmap Scripting Language), организованный в интерактивную таблицу со всей необходимой информацией в одном месте.
https://proglib.io/w/1da4f12d
https://proglib.io/w/1da4f12d
InfosecMatter
Nmap NSE Library - InfosecMatter
List of all Nmap NSE scripts with detailed information and usage examples.
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность pinned «Объявляем конкурс на самый интересный контент в телеграм-каналах Proglib! Призовой фонд — 280 тысяч рублей. Автор лучшего поста в отдельно взятом канале получает 20 тысяч рублей. В каналах по языкам программирования, data science и мобильной разработке интересно…»
#security #pentest
Если вы пишите на PHP, то вам стоит обратить внимание на данный материал. В интервью Антон Прохоров (Специалист по тестированию на проникновение в компании BI.ZONE) освещает следующие темы:
- Путь в безопасность и текущая деятельность в BI.ZONE
- Принципы проведения пентестов
- Взгляд на уязвимости PHP относительно других языков и многое другое
Если вы пишите на PHP, то вам стоит обратить внимание на данный материал. В интервью Антон Прохоров (Специалист по тестированию на проникновение в компании BI.ZONE) освещает следующие темы:
- Путь в безопасность и текущая деятельность в BI.ZONE
- Принципы проведения пентестов
- Взгляд на уязвимости PHP относительно других языков и многое другое
Хабр
Слабые места PHP: думай как хакер
Какие уязвимости можно найти в типичном PHP-проекте? Удивительно, но любые — от слабых мест и уязвимостей в коде никто не застрахован. Чем быстрее мы их найдем,...
Есть опыт и знания в IT, которыми Вы хотите поделиться?
Станьте автором технических статей вместе с Proglib и получайте достойное вознаграждение!
Библиотека программиста приглашает к сотрудничеству внештатных авторов,
которые хотят поделиться знаниями, пропиарить свой авторский блог или просто заработать.
Мы предлагаем удаленную работу, гибкий график, возможность зарабатывать до 12к за статью и выплаты 2 раза в месяц.
Мы не ограничиваем в количестве статей.
Постоянным авторам предусмотрены премии за лояльность.
Интересующие направления для написания статей:
• DevOps
• Блокчейн
• Информационная безопасность
• Ruby on Rails
• C/ C++/ C#
• Java
• Go разработка
• Разработка игр
• Android-разработка
• iOS-разработка
• Системная аналитика
• Тестирование ПО
• Виртуальная реальность
• 1С
• Business Intelligence
• Интернет вещей
• Системы и сети
• IT Management
Оставьте заявку на https://proglib.io/w/692ca1cd и мы свяжемся с вами!
Станьте автором технических статей вместе с Proglib и получайте достойное вознаграждение!
Библиотека программиста приглашает к сотрудничеству внештатных авторов,
которые хотят поделиться знаниями, пропиарить свой авторский блог или просто заработать.
Мы предлагаем удаленную работу, гибкий график, возможность зарабатывать до 12к за статью и выплаты 2 раза в месяц.
Мы не ограничиваем в количестве статей.
Постоянным авторам предусмотрены премии за лояльность.
Интересующие направления для написания статей:
• DevOps
• Блокчейн
• Информационная безопасность
• Ruby on Rails
• C/ C++/ C#
• Java
• Go разработка
• Разработка игр
• Android-разработка
• iOS-разработка
• Системная аналитика
• Тестирование ПО
• Виртуальная реальность
• 1С
• Business Intelligence
• Интернет вещей
• Системы и сети
• IT Management
Оставьте заявку на https://proglib.io/w/692ca1cd и мы свяжемся с вами!
#pentest #redteam #security
Слышали когда-нибудь об атаке через цепочку поставок?
Ее суть заключается в том, что сервис и программа, которые кем-то используются долгое время, внезапно стали вредоносными.
Важную роль в данном случае играет человеческий фактор, ведь, например, между вами (как исполнителем) и заказчиком возникают определенные доверительные отношения. Таким образом, злоумышленник может получить доступ к целевой инфраструктуре через вас.
Так и получилось в компании Codecov. Взломано решение для разработчиков ПО, а значит есть шанс, что код клиентов Codecov также мог быть модифицирован. В числе потенциальных пострадавших — крупные компании, включая Atlassian, P&G и GoDaddy. Читать подробнее.
Слышали когда-нибудь об атаке через цепочку поставок?
Ее суть заключается в том, что сервис и программа, которые кем-то используются долгое время, внезапно стали вредоносными.
Важную роль в данном случае играет человеческий фактор, ведь, например, между вами (как исполнителем) и заказчиком возникают определенные доверительные отношения. Таким образом, злоумышленник может получить доступ к целевой инфраструктуре через вас.
Так и получилось в компании Codecov. Взломано решение для разработчиков ПО, а значит есть шанс, что код клиентов Codecov также мог быть модифицирован. В числе потенциальных пострадавших — крупные компании, включая Atlassian, P&G и GoDaddy. Читать подробнее.
Хабр
Security Week 16: атака на цепочку поставок в компании Codecov
В четверг 15 апреля компания Codecov опубликовала сообщение о взломе собственной инфраструктуры и потенциальной утечке данных у клиентов. Главный продукт Codecov...
Библиотека программиста планирует организовать серию офлайн-мероприятий.
Мы создали опрос, чтобы учесть пожелания и интересы подписчиков, а также какие темы наиболее интересны. Опрос займет не более 3-х минут и пройти его можно тут.
Мы создали опрос, чтобы учесть пожелания и интересы подписчиков, а также какие темы наиболее интересны. Опрос займет не более 3-х минут и пройти его можно тут.
Google Docs
Какие мероприятия наиболее интересны?
#pentest #bugbounty
Фундаментальный чек-лист по тестированию веб-приложений на проникновение:
- Часть 1
- Часть 2
Фундаментальный чек-лист по тестированию веб-приложений на проникновение:
- Часть 1
- Часть 2
DEV Community
Web Application Penetration Test Checklist | Part - 01
In this article I am going to share a checklist which you can use when you are doing a penetration te...
tg_image_3057802825.jpeg
966.5 KB
#redteam #pentest #cheatsheet
Боковое или горизонтальное перемещение (англ. Lateral Movement) — это техника, используемая злоумышленником для компрометации или получения контроля над одним активом в сети, и дальнейшего проникновения от этого узла к другим в той же сети. На шпаргалке показаны основные источники информации, которые позволят в значительной степени ускорить этап бокового перемещения.
Боковое или горизонтальное перемещение (англ. Lateral Movement) — это техника, используемая злоумышленником для компрометации или получения контроля над одним активом в сети, и дальнейшего проникновения от этого узла к другим в той же сети. На шпаргалке показаны основные источники информации, которые позволят в значительной степени ускорить этап бокового перемещения.
#hacktivity #bugbounty
Исследователи представили текущие результаты участия в программе Bug Bounty от Telegram.
https://proglib.io/w/e9638866
Исследователи представили текущие результаты участия в программе Bug Bounty от Telegram.
https://proglib.io/w/e9638866
Medium
Telegram bug bounties: XSS, privacy issues, official bot exploitation and more…
Insufficient verification over callback_data, XSS Telegram.org, Privacy of Profile Pictures, Sticker crash, issues on bugs.telegram.org
#security
SOP и CORS
Мы с вами уже разбирались с такими механизмами безопасности на стороне клиента, как SOP (политика одинакового источника) и CORS (совместное использование ресурсов между разными источниками).
Сегодняшний материал проведёт вас по истории и эволюции данных механизмов. Вы увидите разные типы доступа между различными источниками, а также несколько оптимальных решений работы с ними.
https://proglib.io/w/1b645540
SOP и CORS
Мы с вами уже разбирались с такими механизмами безопасности на стороне клиента, как SOP (политика одинакового источника) и CORS (совместное использование ресурсов между разными источниками).
Сегодняшний материал проведёт вас по истории и эволюции данных механизмов. Вы увидите разные типы доступа между различными источниками, а также несколько оптимальных решений работы с ними.
https://proglib.io/w/1b645540
Хабр
CORS для чайников: история возникновения, как устроен и оптимальные методы работы
В этой статье подробно разобрана история и эволюция политики одинакового источника и CORS, а также расписаны разные типы доступа между различными источниками,...
#pentest #bugbounty
Интереснее интервью с багхантером может быть только анализ его работы в режиме live. На видео демонстрируется подход известного багхантера (Tom Hudson или tomnomnom) к разведке и автоматизации, а также практика работы с инструментами в рамках Bug Bounty программы Shopify.
https://proglib.io/w/ad75710b
Интереснее интервью с багхантером может быть только анализ его работы в режиме live. На видео демонстрируется подход известного багхантера (Tom Hudson или tomnomnom) к разведке и автоматизации, а также практика работы с инструментами в рамках Bug Bounty программы Shopify.
https://proglib.io/w/ad75710b
YouTube
Live Recon and Automation on Shopify's Bug Bounty Program with @TomNomNomDotCom
Purchase my Bug Bounty Course here 👉🏼 bugbounty.nahamsec.training
Live Every Friday, Saturday Sunday and Monday on Twitch:
https://twitch.tv/nahamsec
Free $100 DigitalOcean Credit:
https://m.do.co/c/3236319b9d0b
Follow me on social media:
https://twitter.com/nahamsec…
Live Every Friday, Saturday Sunday and Monday on Twitch:
https://twitch.tv/nahamsec
Free $100 DigitalOcean Credit:
https://m.do.co/c/3236319b9d0b
Follow me on social media:
https://twitter.com/nahamsec…
#bugbounty #pentest
Если у вас еще остались пробелы относительно эксплуатации XSS-атак, то данное видео их восполнит.
Вы увидите различные методы поиска XSS, включая аудит кода и тестирование методом черного ящика.
https://proglib.io/w/8746957f
Если у вас еще остались пробелы относительно эксплуатации XSS-атак, то данное видео их восполнит.
Вы увидите различные методы поиска XSS, включая аудит кода и тестирование методом черного ящика.
https://proglib.io/w/8746957f
YouTube
What the Hack: What Is XSS and How to Find It
In this video I aim to help you understand what XSS (Cross Site Scripting) is, understand how to avoid some common mistakes, myths and misconceptions people think about it and we'll be spending a lot of time discussing techniques for finding XSS, covering…
Продолжаем конкурс на самый интересный контент в телеграм-каналах Proglib!
Призовой фонд — 280 тысяч рублей. Срок окончания конкурса — 15 мая
Автор лучшего поста в отдельно взятом канале получает 20 тысяч рублей.
Мы упростили конкурс — теперь вам достаточно найти интересную и актуальную статью 2020-2021 года, написать к ней небольшой анонс (до 700 знаков) и прислать нам, тем не менее ваши идеи по другим форматам только добавляют + в общий зачет. Авторство можем указать по вашему желанию. В канале @progbook предлагаем отправлять рецензии на новые книги и старые актуальные.
Полный список каналов:
https://t.me/progbook
https://t.me/proglibrary
https://t.me/pyproglib
https://t.me/frontendproglib
https://t.me/javaproglib
https://t.me/dsproglib
https://t.me/phpproglib
https://t.me/cppproglib
https://t.me/mobileproglib
https://t.me/goproglib
https://t.me/csharpproglib
https://t.me/devopsslib
https://t.me/testerlib
https://t.me/hackproglib
Все посты будут с лайками и дизлайками и хэштегом #proglib_contest. Ссылки мы будем прогонять через наш сокращатель, будут браться в расчет лайки, дизлайки, охваты, клики по ссылкам. Чем больше лайков/охватов/кликов по ссылкам в публикации, тем больше шансов стать победителем в конкурсе. Присылайте посты боту @proglib_contest_bot с указанием, на какой канал идет публикация. Юридическая информация здесь.
Призовой фонд — 280 тысяч рублей. Срок окончания конкурса — 15 мая
Автор лучшего поста в отдельно взятом канале получает 20 тысяч рублей.
Мы упростили конкурс — теперь вам достаточно найти интересную и актуальную статью 2020-2021 года, написать к ней небольшой анонс (до 700 знаков) и прислать нам, тем не менее ваши идеи по другим форматам только добавляют + в общий зачет. Авторство можем указать по вашему желанию. В канале @progbook предлагаем отправлять рецензии на новые книги и старые актуальные.
Полный список каналов:
https://t.me/progbook
https://t.me/proglibrary
https://t.me/pyproglib
https://t.me/frontendproglib
https://t.me/javaproglib
https://t.me/dsproglib
https://t.me/phpproglib
https://t.me/cppproglib
https://t.me/mobileproglib
https://t.me/goproglib
https://t.me/csharpproglib
https://t.me/devopsslib
https://t.me/testerlib
https://t.me/hackproglib
Все посты будут с лайками и дизлайками и хэштегом #proglib_contest. Ссылки мы будем прогонять через наш сокращатель, будут браться в расчет лайки, дизлайки, охваты, клики по ссылкам. Чем больше лайков/охватов/кликов по ссылкам в публикации, тем больше шансов стать победителем в конкурсе. Присылайте посты боту @proglib_contest_bot с указанием, на какой канал идет публикация. Юридическая информация здесь.
#bugbounty #pentest
Учимся обходить mod_security (набор инструментов для мониторинга веб-приложений в реальном времени, ведения журналов и управления доступом) при эксплуатации SQL-инъекции.
https://proglib.io/w/84dbd030
Учимся обходить mod_security (набор инструментов для мониторинга веб-приложений в реальном времени, ведения журналов и управления доступом) при эксплуатации SQL-инъекции.
https://proglib.io/w/84dbd030
Medium
Fun sql injection — mod_security bypass
In this writing I would like to show you a somewhat peculiar case with which I came across testing a website.
#pentest #bugbounty
Учимся автоматизировать рутинные задачи пентеста с использованием различных скриптов / инструментов.
https://proglib.io/w/1e7deb0c
Учимся автоматизировать рутинные задачи пентеста с использованием различных скриптов / инструментов.
https://proglib.io/w/1e7deb0c
Medium
Pentest Workflow — Leveraging Community-Powered Tools
As a pentester, I like to look for ways to leverage automation so I can focus my efforts on bugs that are hard to identify using…
За последнее время интерес к NFT-токенам стремительно увеличивается. Вы наверное слышали о таких крупных сделках, как картина Бенкси, портрет Сноудена или токен Нурмагомедова? Кажется, мода на цифровое искусство только набирает обороты, а тут кто первый, тот и выиграл.
Являясь медиа об IT, «Библиотека программиста» просто не могла пройти мимо тренда и решила внести свой вклад в развитие блокчейн-технологий и цифрового искусства. Любой желающий может приобрести первую статью на сайте (proglib.io), которая имеет более 470 000 просмотров.
Цена лота от 1 Ethereum, торги продлятся 3 недели.
Узнать больше можно по ссылке: https://proglib.io/w/874152a9
Являясь медиа об IT, «Библиотека программиста» просто не могла пройти мимо тренда и решила внести свой вклад в развитие блокчейн-технологий и цифрового искусства. Любой желающий может приобрести первую статью на сайте (proglib.io), которая имеет более 470 000 просмотров.
Цена лота от 1 Ethereum, торги продлятся 3 недели.
Узнать больше можно по ссылке: https://proglib.io/w/874152a9
Библиотека программиста
Материалы, которые научат и помогут программировать. Книги и лекции, видеоуроки и советы, тесты знаний и обсуждение горячих тем. Присоединяйтесь!
#cve
Уязвимость XML External Entity (XXE) в WordPress < 5.7.1 (CVE-2021-29447)
Команда SonarSource обнаружила уязвимость XXE в WordPress, эксплуатация которой возможна при наличии аутентификационных данных. В статье они рассказывают о технических деталях.
К слову сказать, компания разрабатывает SonarQube — полезный инструмент для внедрения статического анализа кода в процесс разработки ПО, который поддерживает большое количество языков программирования.
В рамках инструмента существует также SonarLint — бесплатное расширение для IDE, которое позволяет исправлять проблемы с кодом до того, как они появятся. SonarLint выделяет ошибки и уязвимости безопасности при написании кода с четкими инструкциями по исправлению. На Хабре описан кейс интеграции SonarQube и IntelliJ IDEA, если вы пишите на Java.
Уязвимость XML External Entity (XXE) в WordPress < 5.7.1 (CVE-2021-29447)
Команда SonarSource обнаружила уязвимость XXE в WordPress, эксплуатация которой возможна при наличии аутентификационных данных. В статье они рассказывают о технических деталях.
К слову сказать, компания разрабатывает SonarQube — полезный инструмент для внедрения статического анализа кода в процесс разработки ПО, который поддерживает большое количество языков программирования.
В рамках инструмента существует также SonarLint — бесплатное расширение для IDE, которое позволяет исправлять проблемы с кодом до того, как они появятся. SonarLint выделяет ошибки и уязвимости безопасности при написании кода с четкими инструкциями по исправлению. На Хабре описан кейс интеграции SonarQube и IntelliJ IDEA, если вы пишите на Java.
Sonarsource
SonarSource Blog
SonarSource builds world-class Code Quality & Code Security tools. Our products, SonarLint, SonarQube, and SonarCloud are trusted by 200k+ organizations globally.
Вы профи в своём деле? Мы хорошо за это заплатим. Ищем экспертов для проведения мероприятия в Москве 22 и 23 мая. Темы следующие:
- Архитектура программного обеспечения
- Подходы к решению алгоритмических задач с собеседований Google и Яндекс
- Базы данных: модели, миграции, тестирование
- Практикум по рефакторингу
За один день платим от 20 до 30 тыс. ₽ (в зависимости от опыта и вовлеченности). Отклики с резюме кидайте сюда: @proglib_expert_bot
- Архитектура программного обеспечения
- Подходы к решению алгоритмических задач с собеседований Google и Яндекс
- Базы данных: модели, миграции, тестирование
- Практикум по рефакторингу
За один день платим от 20 до 30 тыс. ₽ (в зависимости от опыта и вовлеченности). Отклики с резюме кидайте сюда: @proglib_expert_bot