Рамазан поясняет про выбор багбаунти-программы для взлома 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Bounty On Coffee
Как я выбираю программу для взлома?
Есть несколько вещей, которые я учитываю при выборе программы.
1️⃣ . Сумма выплат
2️⃣ . Интересный скоуп (это субъективно, для меня - это то чем я пользуюсь в повседневной жизни)
3️⃣ . Сложный или уникальный скоуп
4️⃣ . Дырявое приложение
5️⃣ . Быстрота обработки репортов (с момента сдачи до выплаты (фикса))
6️⃣ . Соответствие ожиданий, ваших и вендора
Все эти пункты учитываются по разному в зависимости от ситуации, а именно:
❗️ Новая программа
В данной ситуации в первую очередь смотрю на скоуп, внешку обычно никогда не рассматриваю, как цель.
➖ Интересный скоуп - если это вендор, которым я пользуюсь в повседневной жизни, например, Тинькофф
➖ Сложное или дырявое приложение. Для этого поверхностно изучаю приложение, читаю документацию, смотрю что можно сделать и быстро прикидываю вектора атак для приложения.
➖ И в последнюю очередь обычно смотрю на сумму выплат. Но если разница в выплатах существенная, то в приоритет конечно же ставлю ту, где выплаты больше. Но на данных момент у большинства программ максимальные выплаты до 250к и разница не существенная, кроме нескольких.
❗️ Программа, которую уже ломали
В данной ситуации алгоритм действия немного отличается.
➖ Соответствие ожиданий. Тут имеется ввиду, что вас устраивает, то что предлагает программа. Например, программа предлагает за RCE - 1кк, за SQLi - 100к, за IDOR - 50к. Такое меня не устраивает, так как не соответствует моему способу поиска багов.
➖ Быстрота обработки репортов. Долгая обработка репортов лично меня очень сильно раздражает, если на то нет причин, которые не зависят от программы. Поэтому такие программы сразу мимо.
➖ И дальше уже учитываю - сумму выплат, интересный/сложный/дырявый скоуп.
А как выбираете Вы ?
#bugbounty #strategic
Есть несколько вещей, которые я учитываю при выборе программы.
Все эти пункты учитываются по разному в зависимости от ситуации, а именно:
В данной ситуации в первую очередь смотрю на скоуп, внешку обычно никогда не рассматриваю, как цель.
В данной ситуации алгоритм действия немного отличается.
А как выбираете Вы ?
#bugbounty #strategic
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥1
⚡️Раскрытие тенденций поведения вредоносных программ: на заметку этичному хакеру
Анализ набора данных Windows, содержащего более 100 000 вредоносных файлов, проведенный Elastic Security Labs.
👉 Читать
#malware #analytics
Анализ набора данных Windows, содержащего более 100 000 вредоносных файлов, проведенный Elastic Security Labs.
👉 Читать
#malware #analytics
👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
👏16👾5🌚2👍1
Разработчик Jia Tan получил права мэйнтейнера пакета xz в 2022 году и внедрил бэкдор. Скомпрометированы не только релизы xz, но и проекты на его основе:
🔗Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
👏9😁2👍1
Forwarded from Библиотека питониста | Python, Django, Flask
💬 Как изменился ваш информационный пузырь за год?
Помните свои информационные предпочтения год назад? Многое изменилось! Социальные сети, мессенджеры, YouTube, подкасты — все эти каналы ежедневно борются за наше внимание. У каждого из нас за год сформировался свой уникальный информационный рацион. Пройдите наш опрос и расскажите, как изменились ваши вкусы в медиапотреблении.
👉 Пройти опрос
Опрос займёт у вас примерно 4 минуты.
Помните свои информационные предпочтения год назад? Многое изменилось! Социальные сети, мессенджеры, YouTube, подкасты — все эти каналы ежедневно борются за наше внимание. У каждого из нас за год сформировался свой уникальный информационный рацион. Пройдите наш опрос и расскажите, как изменились ваши вкусы в медиапотреблении.
👉 Пройти опрос
Опрос займёт у вас примерно 4 минуты.
👍3
⚒️ TInjA — CLI-инструмент для тестирования веб-уязвимостей template injection (SSTI + CSTI), который поддерживает 44 наиболее подходящих механизма шаблонов для восьми различных ЯП.
👉 GitHub
#pentest #bugbounty #tools
👉 GitHub
#pentest #bugbounty #tools
GitHub
GitHub - Hackmanit/TInjA: TInjA is a CLI tool for testing web pages for template injection vulnerabilities and supports 44 of the…
TInjA is a CLI tool for testing web pages for template injection vulnerabilities and supports 44 of the most relevant template engines for eight different programming languages. - Hackmanit/TInjA
🔥6
Audio
🎸💯 «Идущий к реке» — rock edition
Что если бы знаменитый монолог был песней? Гадать больше не надо — на помощь приходят нейросети!
👉 О том, какая именно нейросеть помогла нам это сделать, читайте в нашем новом канале — Библиотека нейрозвука
Подписывайтесь, там много интересного!
Что если бы знаменитый монолог был песней? Гадать больше не надо — на помощь приходят нейросети!
Подписывайтесь, там много интересного!
Please open Telegram to view this post
VIEW IN TELEGRAM
🥱5👍3👏1🤩1
Forwarded from Библиотека программиста | программирование, кодинг, разработка
This media is not supported in your browser
VIEW IN TELEGRAM
🛤 Дорожная карта для вкатывания в кибербезопасность
🔹 Архитектура безопасности
🔹 Фреймворки и стандарты
🔹 Безопасность приложений
🔹 Оценка рисков
🔹 Управление корпоративными рисками
🔹 Threat Intelligence
🔹 Security Operation
👉 Источник
#инфографика
🔹 Архитектура безопасности
🔹 Фреймворки и стандарты
🔹 Безопасность приложений
🔹 Оценка рисков
🔹 Управление корпоративными рисками
🔹 Threat Intelligence
🔹 Security Operation
👉 Источник
#инфографика
👍7
🆕👾 Команда Bi.Zone раскрыла главные мотивы хакеров, атакующих российскую инфраструктуру
📌 Что к чему:
☑️ 76% хакеров, атакующих российские компании, движимы финансовой выгодой.
☑️ Среди них есть как опытные профессионалы, так и новички с низким уровнем подготовки.
☑️ Основной способ получения доступа — фишинг.
☑️ Для публикации сообщений об атаках и утечках данных активно используются Telegram-каналы
👉 И еще много интересного
#analytics #hacking #news
📌 Что к чему:
☑️ 76% хакеров, атакующих российские компании, движимы финансовой выгодой.
☑️ Среди них есть как опытные профессионалы, так и новички с низким уровнем подготовки.
☑️ Основной способ получения доступа — фишинг.
☑️ Для публикации сообщений об атаках и утечках данных активно используются Telegram-каналы
👉 И еще много интересного
#analytics #hacking #news
🥱5👍2❤1
Стрессуете на работе?
Anonymous Poll
44%
Ага, особенно когда завтра дедлайн
28%
Нет, работа — кайф
2%
Свой вариант (напишу в комментариях)
26%
Посмотреть результаты
👍4
🤔 «Как собрать контейнер и не вооружить хакера» — доклад Алексея Федулаева и Антона Жаболенко из Wildberries на HighLoad++ 2023, посвященный
😎 Это атаки с использованием легитимных софта, присутствующего в целевой системе, в которую попал атакующий. В данном случае речь про контейнеры.
💡 Вы узнаете множество разных трюков/приемов, о которых должен знать любой представитель красной команды. Доклад будет полезен и представителям синей команды, которая должна знать способы предотвращения/своевременного обнаружения.
📺 Смотреть
🗒️ Читать текстовую версию на Хабре
#bestpractices #security #redteam #blueteam
Living off the Land (LotL) атакам. 💡 Вы узнаете множество разных трюков/приемов, о которых должен знать любой представитель красной команды. Доклад будет полезен и представителям синей команды, которая должна знать способы предотвращения/своевременного обнаружения.
📺 Смотреть
🗒️ Читать текстовую версию на Хабре
#bestpractices #security #redteam #blueteam
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3👏2🔥1
🆕 Новая техника взлома чат-ботов: как злоумышленники обходят защиту LLM
В течение 2023 года средний объем контекста, который способны обрабатывать чат-боты, увеличился с 4000+ до 1 млн+ токенов. Это открыло новые возможности для злоумышленников – в больший объем контекста можно незаметно включить больше вредоносных инструкций.
🔗Подробнее
В течение 2023 года средний объем контекста, который способны обрабатывать чат-боты, увеличился с 4000+ до 1 млн+ токенов. Это открыло новые возможности для злоумышленников – в больший объем контекста можно незаметно включить больше вредоносных инструкций.
🔗Подробнее
👍9
🤖👾 Как злоумышленники взламывают LLM: 7 ключевых стратегий
Чат-боты на основе ИИ все чаще становятся мишенью для хакеров. Какие уязвимости позволяют злоумышленникам взламывать ИИ-системы и как защитить свои приложения от атак? Рассказываем о 7 ключевых стратегиях.
👉 Читать статью
👉 Зеркало
Чат-боты на основе ИИ все чаще становятся мишенью для хакеров. Какие уязвимости позволяют злоумышленникам взламывать ИИ-системы и как защитить свои приложения от атак? Рассказываем о 7 ключевых стратегиях.
👉 Читать статью
👉 Зеркало
👏2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
📌 Вы найдете различные методологии, полезные инструменты/ советы и многое другое.
#guide #pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
kathan19.gitbook.io
HowToHunt.md | HowToHunt
👍2🤩2😁1
CISO_MindMap_2024.pdf
826.2 KB
🗾 CISO Mind Map
Автор поддерживает карту навыков Chief Information Security Officer в актуальном состоянии с 2012 года. Эта версия адаптирована под реалии 2024 года и закладывает фундамент на следующий год.
#career #infosec
Автор поддерживает карту навыков Chief Information Security Officer в актуальном состоянии с 2012 года. Эта версия адаптирована под реалии 2024 года и закладывает фундамент на следующий год.
#career #infosec
👍5🔥2