🤯 USB по почте, 13 портовых друзей Оушена, дроны как доставка точки доступа, подкуп сотрудника, атака через уязвимые драйверы и sentinel LDK от Gemalto. Как думаете, что может объединять эти атаки?
💡🏭 Это нестандартные методы проникновения в практике Red Team команд и в тактике злоумышленников, описанные командой Kaspersky ICS CERT. Читайте подробнее про атаки на крупный бизнес и промышленные предприятия, которые, казалось бы, не должны работать, а они работают.
#redteam
💡🏭 Это нестандартные методы проникновения в практике Red Team команд и в тактике злоумышленников, описанные командой Kaspersky ICS CERT. Читайте подробнее про атаки на крупный бизнес и промышленные предприятия, которые, казалось бы, не должны работать, а они работают.
#redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
Подборка бесплатных онлайн-курсов по Linux и всему, что с ним связано:
🌐 Администрирование Linux: курс от образовательного проекта «Технотрек Mail.ru Group» при МФТИ
🌐 Разжёванный курс по Linux для чайников от Андрея Буранова
🌐 Введение в Линукс: полный курс для начинающих от FreeCodeCamp (Машинный перевод)
🌐 Базовое администрирование Linux-серверов: курс от Слёрма
#linux
#linux
Please open Telegram to view this post
VIEW IN TELEGRAM
1️⃣ Инъекция формулы: фальсификация цен
2️⃣ Инъекция формулы: изменение количества
3️⃣ Целочисленное переполнение
4️⃣ Злоупотребление купонами
5️⃣ Валютная путаница
#pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 Что такое juggling и почему JSON-формат способствует использованию этих багов?
📌 juggling — это особенность некоторых ЯП, при которой переменные автоматически конвертируются в другой тип (например, строковый, целочисленный, boolean) в ходе определенных операций, вместо того чтобы вызвать исключение. Например, при конкатенации строки и целого числа число будет преобразовано в строку.
🤔 Однако это может привести к проблемам, когда важно сохранить тип данных. Формат JSON способствует использованию этих багов, т. к. он изначально поддерживает широкий спектр типов данных (числа, строки, booleans, массивы, объекты и null), в то время как обычные параметры URL/тела запроса чаще всего поддерживают только строки и массивы.
#вопросы_с_собесов
📌 juggling — это особенность некоторых ЯП, при которой переменные автоматически конвертируются в другой тип (например, строковый, целочисленный, boolean) в ходе определенных операций, вместо того чтобы вызвать исключение. Например, при конкатенации строки и целого числа число будет преобразовано в строку.
🤔 Однако это может привести к проблемам, когда важно сохранить тип данных. Формат JSON способствует использованию этих багов, т. к. он изначально поддерживает широкий спектр типов данных (числа, строки, booleans, массивы, объекты и null), в то время как обычные параметры URL/тела запроса чаще всего поддерживают только строки и массивы.
#вопросы_с_собесов
This media is not supported in your browser
VIEW IN TELEGRAM
🥤🛡️ Как сделать Flask-приложение неуязвимым: полное руководство по защите от хакерских атак
Лучшие практики по созданию надежного и безопасного Flask-приложения, включая защиту от XSS/CSRF и API, созданных с помощью Flask.
👉 Читать статью
👉 Зеркало
Лучшие практики по созданию надежного и безопасного Flask-приложения, включая защиту от XSS/CSRF и API, созданных с помощью Flask.
👉 Читать статью
👉 Зеркало
‼️Каждый Gradle-проект содержит список репозиториев, откуда необходимо выгружать зависимости. К наиболее популярным проектам относятся MavenCentral, JCentral и JitPack с Google (для Android).
Репозитории разделяются на приватные и публичные репозитории, где каждый может размещать что угодно.
‼️Список зависимостей имеет формат
groupId:artifactId:version, например, com.google.code.gson:gson:2.10.1. Сборщик идет по репозиториям сверху вниз и скачивает указанную версию из первого репозитория, в котором она будет найдена.Юра Шабалин из «Стингрей Технолоджиз» разбирает примеры атаки и показывает, как от них защититься.
#mobile #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Сергей Зыбнев (Awillix) и Антон Лопаницын (bo0om) обсуждают направления развития и мотивацию ИБ-специалистов, успехи, нелепые провалы, смешные уязвимости и глубокую экспертизу в области трусошаренья.
⏱ Таймкоды:
00:00 Вступление
02:19 Чем знаменит bo0om
06:04 Курсы в ИБ
06:48 Работать в Blue team
11:19 Чем сегодня полезен ИИ в ИБ
14:20 Зачем безопаснику выступать и вести блог
16:45 Pentest award зачем участвовать
18:55 CTF
19:46 Отношение к премиям в других отраслях
24:42 Польза участие для пентестера
29:28 Трусы как мерч
32:40 Хакспейс и Жовнер
34:10 Выдающиеся кейсы за красную карьеру
41:42 Смешные уязвимости
44:10 Безопасно или выгодно — компромиссы бизнеса
51:30 Тренды ИБ и советы начинающим
#podcasts
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 Представьте ситуацию, что вы можете стабильно получать одинаковые деньги как в стартапе, так и в большой компании. Что бы вы выбрали?
🤩 — стартап, горящие глаза и вот это всё
👍 — большую компанию! Там можно быстрее набраться коммерческого опыта
🤔 — свой вариант (напишу в комментариях)
#холивар
🤩 — стартап, горящие глаза и вот это всё
👍 — большую компанию! Там можно быстрее набраться коммерческого опыта
🤔 — свой вариант (напишу в комментариях)
#холивар
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
📌 Что нового:
☑️ Много нового, касаемо внешнего оформления
☑️ Завезли поддержку Samsung Galaxy S24 Ultra и обновления для приложений NetHunter и NHTerm
☑️ В релиз вошли несколько инструментов, включая blue-hydra, opentaxii, readpe и snort
☑️ Традиционно обновили документацию и блог Kali
👉 Подробнее
#tools #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM