👉 GitHub
#practice #pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤2🔥1
🤔 Вы когда-нибудь сталкивались с поддоменом на одной из ваших целей, который возвращал HTTP-ответ с кодом 401/403? В следующий раз не проходите мимо 😎
Ловите топ-3 инструмента для обхода страниц с кодом ошибки 401 и 403:
1️⃣ Bypass-url-parser — фаззер, который выполняет все типы проверок, пытаясь обойти защищенные страницы с кодом состояния 40X.
2️⃣ Nomore403 — Go-инструмент, который имеет несколько обходных путей, включая отправку заголовков и HTTP-методов для получения доступа к защищенным страницам.
3️⃣ BypassFuzzer — Python-инструмент, который выполняет все типы проверок, пытаясь обойти веб-страницы с кодом ошибки 401/403, отправляя различные типы HTTP-запросов, заголовков и многого другого.
#tools #pentest #bugbounty
Ловите топ-3 инструмента для обхода страниц с кодом ошибки 401 и 403:
1️⃣ Bypass-url-parser — фаззер, который выполняет все типы проверок, пытаясь обойти защищенные страницы с кодом состояния 40X.
2️⃣ Nomore403 — Go-инструмент, который имеет несколько обходных путей, включая отправку заголовков и HTTP-методов для получения доступа к защищенным страницам.
3️⃣ BypassFuzzer — Python-инструмент, который выполняет все типы проверок, пытаясь обойти веб-страницы с кодом ошибки 401/403, отправляя различные типы HTTP-запросов, заголовков и многого другого.
#tools #pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
❤3👍1
🤔 Опытные пентестеры наверняка сталкивались с ситуацией, когда встречаешь на периметре уязвимый узел, который явно выделяется на фоне других.
🤦♂️ И вот ты уже радостный бежишь писать отчет, но… Это может быть специальный узел для сбора информации о деятельности хакеров.
🍯 Honeypot — это фальшивая система или сеть, которая обманом заставляет атаковать ее, одновременно собирая о них информацию.
📌 Honeypots могут выглядеть как любой цифровой актив, включая ПО, серверы, базы данных или платежные шлюзы. Honeypots не предназначены для непосредственного прекращения атак, а скорее для их изучения и улучшения стратегии безопасности.
#basics #security
🤦♂️ И вот ты уже радостный бежишь писать отчет, но… Это может быть специальный узел для сбора информации о деятельности хакеров.
🍯 Honeypot — это фальшивая система или сеть, которая обманом заставляет атаковать ее, одновременно собирая о них информацию.
📌 Honeypots могут выглядеть как любой цифровой актив, включая ПО, серверы, базы данных или платежные шлюзы. Honeypots не предназначены для непосредственного прекращения атак, а скорее для их изучения и улучшения стратегии безопасности.
#basics #security
👍13❤1
Forwarded from Библиотека программиста | программирование, кодинг, разработка
🙇♂️ Курс по подготовке Site Reliability Engineer: слайды + материалы для дополнительного изучения
Этот курс читается в Школе Анализа Данных Яндекса. Вы узнаете, какие бывают аварии, погрузитесь в работу отдельной машины, изучите как можно диагностировать работу машины, работая на ней в консоли. Разберёте инфраструктурные составляющие, средства диагностики распределённных систем и особенности работы в контейнерной среде.
📌 Программа курса:
1. Как ломаются большие системы
2. Архитектура суперскалярного центрального процессора
3. Архитектура памяти на одном ядре
4. Многоядерная архитектура памяти
5. Обработка сетевого пакета ядром Linux
6. Работа с накопителями постоянной памяти
7. Диагностика проблем на хосте
8. Построение надёжной сети
9. Дизайн распределённых систем
10. Диагностика распределённых систем
11. Практики работы SRE
12. Безопасность и контроль ресурсов
13. Оркестрация
Этот курс читается в Школе Анализа Данных Яндекса. Вы узнаете, какие бывают аварии, погрузитесь в работу отдельной машины, изучите как можно диагностировать работу машины, работая на ней в консоли. Разберёте инфраструктурные составляющие, средства диагностики распределённных систем и особенности работы в контейнерной среде.
📌 Программа курса:
1. Как ломаются большие системы
2. Архитектура суперскалярного центрального процессора
3. Архитектура памяти на одном ядре
4. Многоядерная архитектура памяти
5. Обработка сетевого пакета ядром Linux
6. Работа с накопителями постоянной памяти
7. Диагностика проблем на хосте
8. Построение надёжной сети
9. Дизайн распределённых систем
10. Диагностика распределённых систем
11. Практики работы SRE
12. Безопасность и контроль ресурсов
13. Оркестрация
👍5🥱1
🔍 Известный на BugCrowd исследователь Abdullah Nawaf поделился довольно простой цепочкой уязвимостей (Auth Bypass + RCE), которая началась с качественной разведки, а именно поиска уязвимого поддомена https://admintest.Target.com. Под катом он делится инструментами, которые использовал, и пруфами.
👉 Читайте на Medium или в PDF (файл в комментариях)
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
🙇♂️🧰 OpenSecurityTraining2 — коллекция бесплатных курсов от команды OpenSecurityTraining Inc.
Узнайте больше об архитектуре, отладке, реверсе и анализе малвари.
#reverse #practice #learning
Узнайте больше об архитектуре, отладке, реверсе и анализе малвари.
#reverse #practice #learning
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥3
Под катом — обзор инструментов для поиска информации о пользователе исходя из никнейма:
🔧 Maigret — инструмент для анализа данных из различных социальных платформ
🔧 Mr.Holmes — проект, направленный на сбор информации из открытых источников о социальных сетях, телефонных номерах, доменах и IP-адресах с использованием Google Dorks
🔧 Holehe — инструмент для обнаружения зарегистрированных аккаунтов по электронной почте
🔧 Ghunt — инструмент для сбора информации о пользователях по gmail-адресам
🔧 H8mail — инструмент, который сканирует указанный почтовый ящик в своих базах данных и предоставляет набор возможных паролей
#OSINT #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤🔥1
Forwarded from Библиотека программиста | программирование, кодинг, разработка
🆕 Госдума открывает двери для белых хакеров: новый законопроект легализует их деятельность
Комитет Государственной Думы по государственному строительству и законодательству рекомендовал нижней палате принять в первом чтении законопроект, узаконивающий деятельность белых хакеров в России.
🔗Подробнее
Комитет Государственной Думы по государственному строительству и законодательству рекомендовал нижней палате принять в первом чтении законопроект, узаконивающий деятельность белых хакеров в России.
🔗Подробнее
🤔5👏3👍2
🧘♂️ Work-life balance — это баланс между работой и личной жизнью. Соблюдать его — значит придерживаться образа жизни, при котором каждая сфера деятельности находится в гармонии с остальными и не наносит им ущерба.
💡 Другими словами, work-life balance позволяет успешно совмещать работу, отдых, семью, хобби, здоровье и другие важные аспекты нашей жизни.
💬 А вам удается его соблюдать?
👍 — да, только на этом и держусь
🤔 — нет, обычно работа в приоритете
🥱 — вы о чем вообще?
💯 — свой вариант (напишу в комментариях)
💡 Другими словами, work-life balance позволяет успешно совмещать работу, отдых, семью, хобби, здоровье и другие важные аспекты нашей жизни.
💬 А вам удается его соблюдать?
👍 — да, только на этом и держусь
🤔 — нет, обычно работа в приоритете
🥱 — вы о чем вообще?
💯 — свой вариант (напишу в комментариях)
🥱10👍6🤔6
⚡Очередная подборка новостей для этичного хакера
🤯👩💻 Аппаратная уязвимость в процессорах Apple
Уязвимость делает возможной атаку по стороннему каналу на алгоритмы шифрования данных с последующей кражей приватных ключей. Для этого на компьютере жертвы необходимо запустить вредоносный код, который сможет контролировать алгоритм.
Сама атака занимает от одного до нескольких часов, и прямо сейчас угрозы пользователям не несет. Последствия от обнаружения уязвимости, тем не менее, будут: проблема в системе подгрузки данных в кэш-память может быть закрыта только программным путем, в конкретных реализациях алгоритмов шифрования, что приведет к снижению производительности.
👩💻 Свежая публикация экспертов «Лаборатории Касперского» описывает типичные виды вредоносных программ для устройств под управлением Android.
🗂 Исследователи нашли новый метод проведения DoS-атаки на базовые сетевые сервисы (TFTP, DNS, NTP). Уязвимости подвержены более 300 тысяч серверов.
🔐 Исследование безопасности дверных замков Saflok фирмы Dormakaba, используемых в отелях и открываемых с помощью технологии RFID. В предложенном сценарии атаки злоумышленник заселяется в отель, получает ключ-карту от своего номера и на основе данных из него создает универсальный ключ, который открывает все замки в гостинице.
🐛 CVE-2024-27298: SQL-инъекция в Parse Server до 6.5.0
🐛 CVE-2024-27103: XSS в Pineterest Querybook до 3.31.1
🐛 CVE-2024-27307: Prototype Pollution в JSONata до 1.8.7
🐛 CVE-2024-26143: XSS в Ruby on Rails до 7.0.8.1
🐛 CVE-2024-27302: обход политики CORS во фреймворке go-zero до 1.4.4
🌐 Утечка маршрутов интернета / Nvidia предсказывает будущее / ИИ твой новый тиммейт: security-новости от главреда SecLab
#news #чтопроисходит
🤯
Уязвимость делает возможной атаку по стороннему каналу на алгоритмы шифрования данных с последующей кражей приватных ключей. Для этого на компьютере жертвы необходимо запустить вредоносный код, который сможет контролировать алгоритм.
Сама атака занимает от одного до нескольких часов, и прямо сейчас угрозы пользователям не несет. Последствия от обнаружения уязвимости, тем не менее, будут: проблема в системе подгрузки данных в кэш-память может быть закрыта только программным путем, в конкретных реализациях алгоритмов шифрования, что приведет к снижению производительности.
🗂 Исследователи нашли новый метод проведения DoS-атаки на базовые сетевые сервисы (TFTP, DNS, NTP). Уязвимости подвержены более 300 тысяч серверов.
🔐 Исследование безопасности дверных замков Saflok фирмы Dormakaba, используемых в отелях и открываемых с помощью технологии RFID. В предложенном сценарии атаки злоумышленник заселяется в отель, получает ключ-карту от своего номера и на основе данных из него создает универсальный ключ, который открывает все замки в гостинице.
🐛 CVE-2024-27298: SQL-инъекция в Parse Server до 6.5.0
🐛 CVE-2024-27103: XSS в Pineterest Querybook до 3.31.1
🐛 CVE-2024-27307: Prototype Pollution в JSONata до 1.8.7
🐛 CVE-2024-26143: XSS в Ruby on Rails до 7.0.8.1
🐛 CVE-2024-27302: обход политики CORS во фреймворке go-zero до 1.4.4
#news #чтопроисходит
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
👍3
Bo0oM - Bitrix.pdf
13.1 MB
🚪«Выйди и зайди нормально!» — доклад Антона (Bo0oM) Лопаницына на Kazhackstan о том, как попасть в админку CMS'ки в случае ограничения доступа, и возможностях, которые перед вами открываются в случае успеха.
#pentest #bitrix
#pentest #bitrix
👍2