Bo0oM - Bitrix.pdf
13.1 MB
🚪«Выйди и зайди нормально!» — доклад Антона (Bo0oM) Лопаницына на Kazhackstan о том, как попасть в админку CMS'ки в случае ограничения доступа, и возможностях, которые перед вами открываются в случае успеха.
#pentest #bitrix
#pentest #bitrix
👍2
⚡️Proglib запускает каналы про нейросети
По каждому направлению отдельно! А именно:
⭐Библиотека нейрозвука — здесь все, связанное с транскрибацией, синтезом речи, ИИ-музыкой
⭐Библиотека нейротекста — классические ИИ-помощники вроде ChatGPT, Gemini, Bing
⭐Библиотека нейровидео — здесь пишем про нашумевшую Sora AI, а также про Runway ML, дипфейки и другие видеотехнологии
⭐Библиотека нейрокартинок — генерируем изображения и рассказываем про Midjourney, DALL-E, Stable Diffusion
⭐️Библиотека робототехники и беспилотников — наконец, тут мы рассказываем не столько про ИИ, сколько про роботов, беспилотные технологии и интернет вещей
И все это — максимально подробно: с пошаговыми инструкциями, промтами, инструментами и лайфхаками.
Подписывайтесь!
По каждому направлению отдельно! А именно:
⭐Библиотека нейрозвука — здесь все, связанное с транскрибацией, синтезом речи, ИИ-музыкой
⭐Библиотека нейротекста — классические ИИ-помощники вроде ChatGPT, Gemini, Bing
⭐Библиотека нейровидео — здесь пишем про нашумевшую Sora AI, а также про Runway ML, дипфейки и другие видеотехнологии
⭐Библиотека нейрокартинок — генерируем изображения и рассказываем про Midjourney, DALL-E, Stable Diffusion
⭐️Библиотека робототехники и беспилотников — наконец, тут мы рассказываем не столько про ИИ, сколько про роботов, беспилотные технологии и интернет вещей
И все это — максимально подробно: с пошаговыми инструкциями, промтами, инструментами и лайфхаками.
Подписывайтесь!
👍2🥱2
😎 Вы нашли XSS, но
💬 Что вы используете для визуального подтверждения XSS?
#вопросы_для_самопроверки
alert, confirm, prompt и print заблокированы WAF. 💬 Что вы используете для визуального подтверждения XSS?
#вопросы_для_самопроверки
🥰3🤔3👍2
🤯 Анализ новой уязвимости Linux в nf_tables (CVE-2024-1086)
🤷♂️ Ничего такого, просто ядра Linux (5.14–6.7) подвержены уязвимости Local Privilege Escalation. А это самые распространенных ОС Debian и Ubuntu.
Автор написал своего рода исследование, в котором поделился первопричинами уязвимости и универсальным PoC'ом.
Материал отлично подойдет для новичков, которые хотят научиться искать баги в ядре Linux, потому что сложные темы разбиты на разделы (к которым можно вернуться, если совсем непонятно) и написаны простым языком.
👉 Читать
#research #linux #CVE
🤷♂️ Ничего такого, просто ядра Linux (5.14–6.7) подвержены уязвимости Local Privilege Escalation. А это самые распространенных ОС Debian и Ubuntu.
Автор написал своего рода исследование, в котором поделился первопричинами уязвимости и универсальным PoC'ом.
Материал отлично подойдет для новичков, которые хотят научиться искать баги в ядре Linux, потому что сложные темы разбиты на разделы (к которым можно вернуться, если совсем непонятно) и написаны простым языком.
#research #linux #CVE
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤1🥱1
Накрутить опыт в резюме — это ок? Как относитесь?
Anonymous Poll
32%
Не вижу ничего плохого. Хочешь жить — умей вертеться
16%
Нейтрально
17%
Негативно
20%
А смысл? Хорошего спеца и без большого опыта возьмут
1%
Свой вариант (напишу в комментариях)
15%
Посмотреть результаты
Forwarded from Библиотека программиста | программирование, кодинг, разработка
🧑💻 Путь разработчика: один язык на всю жизнь или постоянное переобучение?
Мир IT постоянно развивается, и то, что было актуально вчера, сегодня может оказаться устаревшим. Мы хотим узнать, как часто разработчики меняют сферу деятельности и направление разработки в погоне за новыми знаниями и возможностями.
👉 Поделитесь своим мнением и опытом. Ваши ответы помогут нам лучше понять тенденции и предпочтения в сообществе разработчиков
Опрос займёт у вас примерно 4 минуты.
Мир IT постоянно развивается, и то, что было актуально вчера, сегодня может оказаться устаревшим. Мы хотим узнать, как часто разработчики меняют сферу деятельности и направление разработки в погоне за новыми знаниями и возможностями.
👉 Поделитесь своим мнением и опытом. Ваши ответы помогут нам лучше понять тенденции и предпочтения в сообществе разработчиков
Опрос займёт у вас примерно 4 минуты.
#pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4😁3😢2
📦 HTB Drive: повышаем привилегии через собственный модуль SQLite
📦 HTB Visual: захватываем сервер на Windows через проект Visual Studio
📦 HTB CozyHosting: эксплуатируем инъекцию команд в веб-приложении на Java
📦 HTB Appsanity: используем DLL Hijacking для повышения привилегий
📦 HTB Manager: повышаем привилегии в Active Directory через технику ESC7
📦 HTB Analytics: используем баг в OverlayFS, чтобы сбежать из Docker
#writeup #pentest #чтопроисходит
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Forwarded from Библиотека нейросетей | ChatGPT, Midjourney, DeepSeek, Sora
Умение быстро находить решения сложных задач — один из самых важных навыков разработчика. Но найти по-настоящему полезную информацию в лавинообразном потоке SEO-оптимизированного контента бывает нелегко. На помощь придут ИИ-поисковики: они могут отыскать ответ на самый размытый запрос, а при необходимости — сгенерируют собственное решение.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3❤1👍1
📄 Шпаргалки и гайды для этичного хакера
Автор собрал в одном репозиториии шпаргалки и руководства, которые использует в работе и которые помогли при получении ИБ-сертификатов:
🔹 Windows Commands Cheat Sheet
🔹 Linux Commands Cheat Sheet
🔹 Red Team Manual
🔹 Zero-Point RTO I (Cobalt Strike)
🔹 Zero-Point RTO II (C2 Infrastructure & Defence Evasion)
🔸 OSCP: Your BS-less Guide to Acing OSCP
🔸 CRTO: Your To the Point Guide on Pwning Zero-Point RTO
#cheatsheet #pentest #security #guide
Автор собрал в одном репозиториии шпаргалки и руководства, которые использует в работе и которые помогли при получении ИБ-сертификатов:
🔹 Windows Commands Cheat Sheet
🔹 Linux Commands Cheat Sheet
🔹 Red Team Manual
🔹 Zero-Point RTO I (Cobalt Strike)
🔹 Zero-Point RTO II (C2 Infrastructure & Defence Evasion)
🔸 OSCP: Your BS-less Guide to Acing OSCP
🔸 CRTO: Your To the Point Guide on Pwning Zero-Point RTO
#cheatsheet #pentest #security #guide
GitHub
GitHub - RedefiningReality/Cheatsheets: A collection of all my personal cheat sheets and guides as I progress through my career…
A collection of all my personal cheat sheets and guides as I progress through my career in offensive security. - RedefiningReality/Cheatsheets
👍5
🤦♂️ Бэкдор, обнаруженный в широко используемой утилите Linux, взламывает зашифрованные SSH-соединения (никогда такого не было, и вот опять)
🤨 Исследователи обнаружили бэкдор в утилите для сжатия данных xz Utils, которая вошла в широко используемые дистрибутивы Linux, включая Red Hat и Debian. Хотя не было известно о включении этих версий в какие-либо продакшн выпуски крупных дистрибутивов Linux, как Red Hat, так и Debian сообщили, что недавно опубликованные бета-версии использовали, по крайней мере, одну из версий с бэкдором, а именно в Fedora Rawhide и Debian testing, unstable и experimental дистрибутивах.
🤯 Первые признаки были выявлены в обновлении от 23 февраля, которое добавило обфусцированный код. В последующем обновлении был включен установочный скрипт, который интегрировался в функции, используемые sshd. Злонамеренные изменения были внесены одним из основных разрабов xz Utils, JiaT75, который контрибьютил проект на протяжении многих лет.
🥷 Бэкдор намеренно мешает аутентификации, выполняемой посредством SSH. Он позволяет злоумышленнику нарушить аутентификацию и, таким образом, получить доступ ко всей системе.
#news #security
🤯 Первые признаки были выявлены в обновлении от 23 февраля, которое добавило обфусцированный код. В последующем обновлении был включен установочный скрипт, который интегрировался в функции, используемые sshd. Злонамеренные изменения были внесены одним из основных разрабов xz Utils, JiaT75, который контрибьютил проект на протяжении многих лет.
🥷 Бэкдор намеренно мешает аутентификации, выполняемой посредством SSH. Он позволяет злоумышленнику нарушить аутентификацию и, таким образом, получить доступ ко всей системе.
#news #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👾7👍3
Рамазан поясняет про выбор багбаунти-программы для взлома 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Bounty On Coffee
Как я выбираю программу для взлома?
Есть несколько вещей, которые я учитываю при выборе программы.
1️⃣ . Сумма выплат
2️⃣ . Интересный скоуп (это субъективно, для меня - это то чем я пользуюсь в повседневной жизни)
3️⃣ . Сложный или уникальный скоуп
4️⃣ . Дырявое приложение
5️⃣ . Быстрота обработки репортов (с момента сдачи до выплаты (фикса))
6️⃣ . Соответствие ожиданий, ваших и вендора
Все эти пункты учитываются по разному в зависимости от ситуации, а именно:
❗️ Новая программа
В данной ситуации в первую очередь смотрю на скоуп, внешку обычно никогда не рассматриваю, как цель.
➖ Интересный скоуп - если это вендор, которым я пользуюсь в повседневной жизни, например, Тинькофф
➖ Сложное или дырявое приложение. Для этого поверхностно изучаю приложение, читаю документацию, смотрю что можно сделать и быстро прикидываю вектора атак для приложения.
➖ И в последнюю очередь обычно смотрю на сумму выплат. Но если разница в выплатах существенная, то в приоритет конечно же ставлю ту, где выплаты больше. Но на данных момент у большинства программ максимальные выплаты до 250к и разница не существенная, кроме нескольких.
❗️ Программа, которую уже ломали
В данной ситуации алгоритм действия немного отличается.
➖ Соответствие ожиданий. Тут имеется ввиду, что вас устраивает, то что предлагает программа. Например, программа предлагает за RCE - 1кк, за SQLi - 100к, за IDOR - 50к. Такое меня не устраивает, так как не соответствует моему способу поиска багов.
➖ Быстрота обработки репортов. Долгая обработка репортов лично меня очень сильно раздражает, если на то нет причин, которые не зависят от программы. Поэтому такие программы сразу мимо.
➖ И дальше уже учитываю - сумму выплат, интересный/сложный/дырявый скоуп.
А как выбираете Вы ?
#bugbounty #strategic
Есть несколько вещей, которые я учитываю при выборе программы.
Все эти пункты учитываются по разному в зависимости от ситуации, а именно:
В данной ситуации в первую очередь смотрю на скоуп, внешку обычно никогда не рассматриваю, как цель.
В данной ситуации алгоритм действия немного отличается.
А как выбираете Вы ?
#bugbounty #strategic
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥1
⚡️Раскрытие тенденций поведения вредоносных программ: на заметку этичному хакеру
Анализ набора данных Windows, содержащего более 100 000 вредоносных файлов, проведенный Elastic Security Labs.
👉 Читать
#malware #analytics
Анализ набора данных Windows, содержащего более 100 000 вредоносных файлов, проведенный Elastic Security Labs.
👉 Читать
#malware #analytics
👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
👏16👾5🌚2👍1
Разработчик Jia Tan получил права мэйнтейнера пакета xz в 2022 году и внедрил бэкдор. Скомпрометированы не только релизы xz, но и проекты на его основе:
🔗Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
👏9😁2👍1