#bugbounty #pentest
Учимся обходить mod_security (набор инструментов для мониторинга веб-приложений в реальном времени, ведения журналов и управления доступом) при эксплуатации SQL-инъекции.
https://proglib.io/w/84dbd030
Учимся обходить mod_security (набор инструментов для мониторинга веб-приложений в реальном времени, ведения журналов и управления доступом) при эксплуатации SQL-инъекции.
https://proglib.io/w/84dbd030
Medium
Fun sql injection — mod_security bypass
In this writing I would like to show you a somewhat peculiar case with which I came across testing a website.
#pentest #bugbounty
Учимся автоматизировать рутинные задачи пентеста с использованием различных скриптов / инструментов.
https://proglib.io/w/1e7deb0c
Учимся автоматизировать рутинные задачи пентеста с использованием различных скриптов / инструментов.
https://proglib.io/w/1e7deb0c
Medium
Pentest Workflow — Leveraging Community-Powered Tools
As a pentester, I like to look for ways to leverage automation so I can focus my efforts on bugs that are hard to identify using…
За последнее время интерес к NFT-токенам стремительно увеличивается. Вы наверное слышали о таких крупных сделках, как картина Бенкси, портрет Сноудена или токен Нурмагомедова? Кажется, мода на цифровое искусство только набирает обороты, а тут кто первый, тот и выиграл.
Являясь медиа об IT, «Библиотека программиста» просто не могла пройти мимо тренда и решила внести свой вклад в развитие блокчейн-технологий и цифрового искусства. Любой желающий может приобрести первую статью на сайте (proglib.io), которая имеет более 470 000 просмотров.
Цена лота от 1 Ethereum, торги продлятся 3 недели.
Узнать больше можно по ссылке: https://proglib.io/w/874152a9
Являясь медиа об IT, «Библиотека программиста» просто не могла пройти мимо тренда и решила внести свой вклад в развитие блокчейн-технологий и цифрового искусства. Любой желающий может приобрести первую статью на сайте (proglib.io), которая имеет более 470 000 просмотров.
Цена лота от 1 Ethereum, торги продлятся 3 недели.
Узнать больше можно по ссылке: https://proglib.io/w/874152a9
Библиотека программиста
Материалы, которые научат и помогут программировать. Книги и лекции, видеоуроки и советы, тесты знаний и обсуждение горячих тем. Присоединяйтесь!
#cve
Уязвимость XML External Entity (XXE) в WordPress < 5.7.1 (CVE-2021-29447)
Команда SonarSource обнаружила уязвимость XXE в WordPress, эксплуатация которой возможна при наличии аутентификационных данных. В статье они рассказывают о технических деталях.
К слову сказать, компания разрабатывает SonarQube — полезный инструмент для внедрения статического анализа кода в процесс разработки ПО, который поддерживает большое количество языков программирования.
В рамках инструмента существует также SonarLint — бесплатное расширение для IDE, которое позволяет исправлять проблемы с кодом до того, как они появятся. SonarLint выделяет ошибки и уязвимости безопасности при написании кода с четкими инструкциями по исправлению. На Хабре описан кейс интеграции SonarQube и IntelliJ IDEA, если вы пишите на Java.
Уязвимость XML External Entity (XXE) в WordPress < 5.7.1 (CVE-2021-29447)
Команда SonarSource обнаружила уязвимость XXE в WordPress, эксплуатация которой возможна при наличии аутентификационных данных. В статье они рассказывают о технических деталях.
К слову сказать, компания разрабатывает SonarQube — полезный инструмент для внедрения статического анализа кода в процесс разработки ПО, который поддерживает большое количество языков программирования.
В рамках инструмента существует также SonarLint — бесплатное расширение для IDE, которое позволяет исправлять проблемы с кодом до того, как они появятся. SonarLint выделяет ошибки и уязвимости безопасности при написании кода с четкими инструкциями по исправлению. На Хабре описан кейс интеграции SonarQube и IntelliJ IDEA, если вы пишите на Java.
Sonarsource
SonarSource Blog
SonarSource builds world-class Code Quality & Code Security tools. Our products, SonarLint, SonarQube, and SonarCloud are trusted by 200k+ organizations globally.
Вы профи в своём деле? Мы хорошо за это заплатим. Ищем экспертов для проведения мероприятия в Москве 22 и 23 мая. Темы следующие:
- Архитектура программного обеспечения
- Подходы к решению алгоритмических задач с собеседований Google и Яндекс
- Базы данных: модели, миграции, тестирование
- Практикум по рефакторингу
За один день платим от 20 до 30 тыс. ₽ (в зависимости от опыта и вовлеченности). Отклики с резюме кидайте сюда: @proglib_expert_bot
- Архитектура программного обеспечения
- Подходы к решению алгоритмических задач с собеседований Google и Яндекс
- Базы данных: модели, миграции, тестирование
- Практикум по рефакторингу
За один день платим от 20 до 30 тыс. ₽ (в зависимости от опыта и вовлеченности). Отклики с резюме кидайте сюда: @proglib_expert_bot
#blueteam
Threat Intelligence — это набор данных о киберугрозах и злоумышленниках, который позволяет организациям изучить цели, тактику и инструменты злоумышленников, чтобы выстроить эффективную стратегию защиты от атак. Анализом данных о киберугрозах занимаются специальные платформы Threat Intelligence, которые стали, по сути, новой вехой в арсенале решений по ИБ.
Хоть данные платформы и набирают популярность, проблема источников Threat Intelligence остается актуальной. Статья поможет разобраться с тем, какие сложности могут возникнуть при сборе данных, от чего зависят структура и формат фида (потоки данных, содержащие индикаторы компрометации, т. е. признаки, по которым можно распознать потенциальную угрозу, например, хэши вредоносных файлов, IP-адреса и т. д.), какие метрики помогают оценить полезность фидов и многое другое.
https://proglib.io/w/7e4e0a4c
Вам интересны материалы, которые больше относятся к защите инфраструктуры?
Threat Intelligence — это набор данных о киберугрозах и злоумышленниках, который позволяет организациям изучить цели, тактику и инструменты злоумышленников, чтобы выстроить эффективную стратегию защиты от атак. Анализом данных о киберугрозах занимаются специальные платформы Threat Intelligence, которые стали, по сути, новой вехой в арсенале решений по ИБ.
Хоть данные платформы и набирают популярность, проблема источников Threat Intelligence остается актуальной. Статья поможет разобраться с тем, какие сложности могут возникнуть при сборе данных, от чего зависят структура и формат фида (потоки данных, содержащие индикаторы компрометации, т. е. признаки, по которым можно распознать потенциальную угрозу, например, хэши вредоносных файлов, IP-адреса и т. д.), какие метрики помогают оценить полезность фидов и многое другое.
https://proglib.io/w/7e4e0a4c
Вам интересны материалы, которые больше относятся к защите инфраструктуры?
Хабр
Разбираемся в источниках Threat Intelligence
Согласно отчету 2021 SANS Cyber Threat Intelligence (CTI) Survey, 66,3% компаний используют открытые источники для сбора индикаторов компрометации и стараются ра...
#practice #pentest #redteam
Команда SpecterOps выпустила качественный гайд по построению туннелей и проксированию с помощью SSH.
https://proglib.io/w/fb3b8013
Команда SpecterOps выпустила качественный гайд по построению туннелей и проксированию с помощью SSH.
https://proglib.io/w/fb3b8013
#bugbounty
Смарт-контракт — компьютерный алгоритм, предназначенный для формирования, контроля и предоставления информации о владении чем-либо. Чаще всего речь идёт о применении технологии блокчейна. В более узком смысле под смарт-контрактом понимается набор функций и данных, находящихся по определённому адресу в блокчейне. Вам, как исследователю безопасности или разработчику, должна быть интересна сторона безопасности смарт-контрактов хотя бы по причине того, что:
➖Смарт-контракты позволяют взаимодействовать с активами по определенным правилам.
➖Смарт-контракты общедоступны, а исходный код, как правило, открыт.
➖Более 115 миллиардов долларов в настоящее время заблокировано в смарт-контрактах только в пространстве Ethereum DeFi, а в 2020 году более 50 миллионов долларов было потеряно в результате взлома смарт-контрактов.
➖Смарт-контракты атакуются не только с помощью ошибок в коде, но и с помощью ролей пользователей с высокими привилегиями, внешних протоколов и сложных экономических атак.
https://proglib.io/w/d3bb094c
Смарт-контракт — компьютерный алгоритм, предназначенный для формирования, контроля и предоставления информации о владении чем-либо. Чаще всего речь идёт о применении технологии блокчейна. В более узком смысле под смарт-контрактом понимается набор функций и данных, находящихся по определённому адресу в блокчейне. Вам, как исследователю безопасности или разработчику, должна быть интересна сторона безопасности смарт-контрактов хотя бы по причине того, что:
➖Смарт-контракты позволяют взаимодействовать с активами по определенным правилам.
➖Смарт-контракты общедоступны, а исходный код, как правило, открыт.
➖Более 115 миллиардов долларов в настоящее время заблокировано в смарт-контрактах только в пространстве Ethereum DeFi, а в 2020 году более 50 миллионов долларов было потеряно в результате взлома смарт-контрактов.
➖Смарт-контракты атакуются не только с помощью ошибок в коде, но и с помощью ролей пользователей с высокими привилегиями, внешних протоколов и сложных экономических атак.
https://proglib.io/w/d3bb094c
Crypto Briefing
Millions Lost: The Top 19 DeFi Cryptocurrency Hacks of 2020
Nearly $100 million has been lost in DeFi in 2020 despite the sector's massive growth spurt. This guide offers a rundown of all 19 major hacks.
#CVE
CVE-2021-29921
В библиотеке
https://proglib.io/w/2e1c8504
CVE-2021-29921
В библиотеке
ipaddress обнаружен баг, суть которого заключается в неправильной проверке ввода восьмеричных строк. Подвержены версии Python 3.8.0-3.10, а эксплуатации данного бага может привести к целому набору уязвимостей (SSRF, RFI и LFI).https://proglib.io/w/2e1c8504
Sick Codes - Security Research, Hardware & Software Hacking, Consulting, Linux, IoT, Cloud, Embedded, Arch, Tweaks & Tips!
CVE-2021-29921 - python stdlib "ipaddress" - Improper Input Validation of octal literals in python 3.8.0 thru v3.10 results in…
Title python stdlib “ipaddress” – Improper Input Validation of octal literals in python 3.8.0 thru v3.10 results in indeterminate SSRF & RFI vulnerabilities. — “ipaddress leading zeros in IPv4 address” CVE ID CVE-2021-29921 CVSS Score 9.8 CVSS:3.1/AV:N/A…
Крупнейший сервис Телеграм-аналитики TGStat проводит исследование аудитории Телеграма. Опрос анонимный, занимает не больше пяти-семи минут, почти везде просто клики по вариантам ответа. В результате статистика по каналам станет точнее, а жизнь — проще. Давайте поможем: https://tgstat.ru/research
TGStat.ru
Исследование аудитории Telegram 2023.
Кто же он — пользователь Telegram 2023 года?
#security #mobile
Основы безопасности в мобильной разработке
В статье описаны 10 основных рисков безопасности для мобильных приложений, а также приведены простые советы для их предотвращения.
https://proglib.io/w/eb38a67d
Основы безопасности в мобильной разработке
В статье описаны 10 основных рисков безопасности для мобильных приложений, а также приведены простые советы для их предотвращения.
https://proglib.io/w/eb38a67d
Продолжаем конкурс на самый интересный контент в телеграм-каналах Proglib!
Призовой фонд — 280 тысяч рублей. Срок окончания конкурса — 15 мая
Автор лучшего поста в отдельно взятом канале получает 20 тысяч рублей.
Мы упростили конкурс — теперь вам достаточно найти интересную и актуальную статью 2020-2021 года, написать к ней небольшой анонс (до 700 знаков) и прислать нам, тем не менее ваши идеи по другим форматам только добавляют + в общий зачет. Авторство можем указать по вашему желанию. В канале @progbook предлагаем отправлять рецензии на новые книги и старые актуальные.
Полный список каналов:
https://t.me/progbook
https://t.me/proglibrary
https://t.me/pyproglib
https://t.me/frontendproglib
https://t.me/javaproglib
https://t.me/dsproglib
https://t.me/phpproglib
https://t.me/cppproglib
https://t.me/mobileproglib
https://t.me/goproglib
https://t.me/csharpproglib
https://t.me/devopsslib
https://t.me/testerlib
https://t.me/hackproglib
Все посты будут с лайками и дизлайками и хэштегом #proglib_contest. Ссылки мы будем прогонять через наш сокращатель, будут браться в расчет лайки, дизлайки, охваты, клики по ссылкам. Чем больше лайков/охватов/кликов по ссылкам в публикации, тем больше шансов стать победителем в конкурсе. Присылайте посты боту @proglib_contest_bot с указанием, на какой канал идет публикация. Юридическая информация здесь.
Призовой фонд — 280 тысяч рублей. Срок окончания конкурса — 15 мая
Автор лучшего поста в отдельно взятом канале получает 20 тысяч рублей.
Мы упростили конкурс — теперь вам достаточно найти интересную и актуальную статью 2020-2021 года, написать к ней небольшой анонс (до 700 знаков) и прислать нам, тем не менее ваши идеи по другим форматам только добавляют + в общий зачет. Авторство можем указать по вашему желанию. В канале @progbook предлагаем отправлять рецензии на новые книги и старые актуальные.
Полный список каналов:
https://t.me/progbook
https://t.me/proglibrary
https://t.me/pyproglib
https://t.me/frontendproglib
https://t.me/javaproglib
https://t.me/dsproglib
https://t.me/phpproglib
https://t.me/cppproglib
https://t.me/mobileproglib
https://t.me/goproglib
https://t.me/csharpproglib
https://t.me/devopsslib
https://t.me/testerlib
https://t.me/hackproglib
Все посты будут с лайками и дизлайками и хэштегом #proglib_contest. Ссылки мы будем прогонять через наш сокращатель, будут браться в расчет лайки, дизлайки, охваты, клики по ссылкам. Чем больше лайков/охватов/кликов по ссылкам в публикации, тем больше шансов стать победителем в конкурсе. Присылайте посты боту @proglib_contest_bot с указанием, на какой канал идет публикация. Юридическая информация здесь.
#tools #pentest #bugbounty
Подробный обзор работы инструмента веб-фаззинга FFuF.
https://proglib.io/w/51c449bb
Подробный обзор работы инструмента веб-фаззинга FFuF.
https://proglib.io/w/51c449bb
#proglib_contest
Открытый доступ к /proc/<pid>/syscall
Обнаружена серьезная уязвимость в ядре Linux, которая может приводить к утечке данных, открывая доступ к стековой памяти. Уязвимость присутствует в нескольких версиях ядра. Подробности здесь:
https://proglib.io/w/def8481e
Открытый доступ к /proc/<pid>/syscall
Обнаружена серьезная уязвимость в ядре Linux, которая может приводить к утечке данных, открывая доступ к стековой памяти. Уязвимость присутствует в нескольких версиях ядра. Подробности здесь:
https://proglib.io/w/def8481e
Latest Hacking News | Cyber Security News, Hacking Tools and Penetration Testing Courses
A Now-Patched Linux Kernel Vulnerability Could Lead To Data Leaks
A serious vulnerability in Linux Kernel could leak data as it exposed stack memory. The vulnerability exists in a range of Kernel versions. Therefore, users should make sure to update to the latest version to
#security #blueteam
Проверьте свои навыки безопасника с помощью теста от Хабра. Надо сказать, что некоторые вопросы достаточно спорные, но они действительно взяты изпрактики суровой реальности.
Проверьте свои навыки безопасника с помощью теста от Хабра. Надо сказать, что некоторые вопросы достаточно спорные, но они действительно взяты из
Хабр
На киберстраже. Тест для безопасника на скилы и скорость
В современном мире данные превратились в новую нефть: кто владеет ими — тот владеет миром. Но если ты старший специалист отдела информационной безопасности в известной компании, то на вес золота ценится ещё и твоя работа. Мало просто правильно выстраивать…
#proglib_contest
Google за вами следит и это не просто вброс. Да, больно, да обидно... Но есть свои плюсы для OSINT специалистов, HR-ов и прочих аналитиков.
Компания присваивает вашим аккаунтам специальные идентификаторы — Google IDs, если быть точнее GAIA (Google Accounts and ID Administration). Зная ID пользователя, можно извлечь дополнительную информацию, например о привязанных к аккаунту приложениях, геометках, дате редактирования аккаунта (создания — частный случай).
Для того чтобы найти их, нужно почаще открывать консоль разработчика, а именно вкладку Network (делается это с помощью F12). В данной статье, в частности, разбирается случай с Hangouts и его возможностями.
Стоит добавить, что новые возможности можно обнаружить и самим, всего-то нужно покопаться в документациях к API гугловских сервисов.
Google за вами следит и это не просто вброс. Да, больно, да обидно... Но есть свои плюсы для OSINT специалистов, HR-ов и прочих аналитиков.
Компания присваивает вашим аккаунтам специальные идентификаторы — Google IDs, если быть точнее GAIA (Google Accounts and ID Administration). Зная ID пользователя, можно извлечь дополнительную информацию, например о привязанных к аккаунту приложениях, геометках, дате редактирования аккаунта (создания — частный случай).
Для того чтобы найти их, нужно почаще открывать консоль разработчика, а именно вкладку Network (делается это с помощью F12). В данной статье, в частности, разбирается случай с Hangouts и его возможностями.
Стоит добавить, что новые возможности можно обнаружить и самим, всего-то нужно покопаться в документациях к API гугловских сервисов.
#security
Зачем разработчику разбираться в вопросах безопасности? А действительно, зачем?
Специалист по защите приложений в DINS Иван Юшкевич рассказывает о том, зачем вообще программистам нужно разбираться в вопросах безопасности. Прочитав статью, вы узнаете, как начать свой путь к Application Security, какой профит это принесет и как часто стоит проводить аудит в компаниях разной величины.
https://proglib.io/w/014968ec
Зачем разработчику разбираться в вопросах безопасности? А действительно, зачем?
Специалист по защите приложений в DINS Иван Юшкевич рассказывает о том, зачем вообще программистам нужно разбираться в вопросах безопасности. Прочитав статью, вы узнаете, как начать свой путь к Application Security, какой профит это принесет и как часто стоит проводить аудит в компаниях разной величины.
https://proglib.io/w/014968ec
Хабр
Зачем разработчику разбираться в вопросах безопасности?
Одно дело — почитать теорию об уязвимостях и совсем другое — увидеть последствия и защититься на практике. Специалист по защите приложений в DINS Иван Юшкевич пр...
#pentest #bugbounty
Очередной чек-лист по тестированию веб-приложений на проникновение, который в первую очередь интересен разделением по объёму скоупа. Нет у вас времени садиться за исследование безопасности каждого запроса вручную — смело используйте раздел
https://proglib.io/w/21963444
Очередной чек-лист по тестированию веб-приложений на проникновение, который в первую очередь интересен разделением по объёму скоупа. Нет у вас времени садиться за исследование безопасности каждого запроса вручную — смело используйте раздел
Small scope и радуйтесь жизни. https://proglib.io/w/21963444
Six2Dez
Pentesting Web checklist
#proglib_contest
Рассмотренные хакерские приложения для Android считаются лучшими в Google Play и за его пределами.
Если вам необходимо активировать скрытые возможности устройства, взломать смартфон, узнать пароли или защититься от атаки, эта подборка — то, что вы искали.
https://proglib.io/w/abd55aae
Рассмотренные хакерские приложения для Android считаются лучшими в Google Play и за его пределами.
Если вам необходимо активировать скрытые возможности устройства, взломать смартфон, узнать пароли или защититься от атаки, эта подборка — то, что вы искали.
https://proglib.io/w/abd55aae
Библиотека программиста
🕵 10 лучших хакерских приложений для Android
Android имеет множество портативных опций, которые позволяют пользователям выполнять этические хакерские задачи без особых усилий.
#career #pentest #bugbounty #security
Автор статьи отмечает, что многие люди часто сбиваются с пути, когда начинают изучать различные аспекты ИБ, поэтому он решил поделиться свои опытом.
Пожалуй, ключевая рекомендация связана с тем, что фокус надо сосредоточить на практике и терпении, но и другие не менее важны.
https://proglib.io/w/696465de
Автор статьи отмечает, что многие люди часто сбиваются с пути, когда начинают изучать различные аспекты ИБ, поэтому он решил поделиться свои опытом.
Пожалуй, ключевая рекомендация связана с тем, что фокус надо сосредоточить на практике и терпении, но и другие не менее важны.
https://proglib.io/w/696465de