​#tools #pentest #bugbounty

Подробный обзор работы инструмента веб-фаззинга FFuF.

https://proglib.io/w/51c449bb

#proglib_contest

Открытый доступ к /proc/<pid>/syscall

Обнаружена серьезная уязвимость в ядре Linux, которая может приводить к утечке данных, открывая доступ к стековой памяти. Уязвимость присутствует в нескольких версиях ядра. Подробности здесь:

https://proglib.io/w/def8481e

#security #blueteam

Проверьте свои навыки безопасника с помощью теста от Хабра. Надо сказать, что некоторые вопросы достаточно спорные, но они действительно взяты из практики суровой реальности.

#proglib_contest

Google за вами следит и это не просто вброс. Да, больно, да обидно... Но есть свои плюсы для OSINT специалистов, HR-ов и прочих аналитиков.

Компания присваивает вашим аккаунтам специальные идентификаторы — Google IDs, если быть точнее GAIA (Google Accounts and ID Administration). Зная ID пользователя, можно извлечь дополнительную информацию, например о привязанных к аккаунту приложениях, геометках, дате редактирования аккаунта (создания — частный случай).

Для того чтобы найти их, нужно почаще открывать консоль разработчика, а именно вкладку Network (делается это с помощью F12). В данной статье, в частности, разбирается случай с Hangouts и его возможностями.

Стоит добавить, что новые возможности можно обнаружить и самим, всего-то нужно покопаться в документациях к API гугловских сервисов.

#security

Зачем разработчику разбираться в вопросах безопасности? А действительно, зачем?

Специалист по защите приложений в DINS Иван Юшкевич рассказывает о том, зачем вообще программистам нужно разбираться в вопросах безопасности. Прочитав статью, вы узнаете, как начать свой путь к Application Security, какой профит это принесет и как часто стоит проводить аудит в компаниях разной величины.

https://proglib.io/w/014968ec

#pentest #bugbounty

Очередной чек-лист по тестированию веб-приложений на проникновение, который в первую очередь интересен разделением по объёму скоупа. Нет у вас времени садиться за исследование безопасности каждого запроса вручную — смело используйте раздел Small scope и радуйтесь жизни.

https://proglib.io/w/21963444

#proglib_contest

Рассмотренные хакерские приложения для Android считаются лучшими в Google Play и за его пределами.

Если вам необходимо активировать скрытые возможности устройства, взломать смартфон, узнать пароли или защититься от атаки, эта подборка — то, что вы искали.

https://proglib.io/w/abd55aae

#career #pentest #bugbounty #security

Автор статьи отмечает, что многие люди часто сбиваются с пути, когда начинают изучать различные аспекты ИБ, поэтому он решил поделиться свои опытом.

Пожалуй, ключевая рекомендация связана с тем, что фокус надо сосредоточить на практике и терпении, но и другие не менее важны.

https://proglib.io/w/696465de

#proglib_contest

Инструменты и навыки, необходимые каждому охотнику на Bug Bounty

Bug Bounty — идеальный способ одновременно получить опыт в области кибербезопасности и заработать деньги. Эта статья отвечает на вопрос, что для этого нужно.

https://proglib.io/w/ca3ec742

#pentest #tools

Обзор работы сканера уязвимостей Nuclei, который вы можете настроить в соответствии со своими потребностями.

https://proglib.io/w/01d7cceb

#proglib_contest

Что такое цепочка SSL и как она работает

Если вы когда-либо приобретали
SSL сертификат для своего сайта, скорее всего вы знакомы с общей концепцией. В обратном случае обратитесь к данному посту и разберитесь.

Очень многие думают, что сертификат для домена выпускается центром сертификации напрямую, но это не так.
Во-первых, начнем с терминологии. Есть 3 типа сертификатов: серверный, промежуточный и корневой. Названия говорят сами за себя, соответственно, о порядке их следования говорить не приходиться.

Совокупность этих сертификатов и есть цепочка SSL, гарантирующая безопасность. Подробности реализации не поместятся в анонс.

Единый канал – объединяющий в себе множество вакансий в сфере IT-безопасности.

-Анализ защищенности приложений
-Проведение тестов на проникновение
-OSINT
-Антифрод-аналитика
-Аналитик БД
-Аудит кибербезопасности

Подписывайтесь, а мы подберём Вам вакансию мечты.
https://t.me/silveralpshrcom
Карьера сама себя не построит!

#security

Вам, как разработчикам ПО и ИТ- / ИБ-специалистам, важно заботиться о безопасности и подлинности ваших трудов. С Git работает как минимум каждый второй из вас.

Для доказательства того, что ваши коммиты подлинны и исходят от вас, можно использовать ключи GPG для подписания коммитов.

Крис Реддингтон столкнулся с данным вопросом и, надо сказать, не обошлось без ряда препятствий. Разобравшись досконально в вопросах, он задокументировал свои труды для потомков.

- часть 1
- часть 2
- часть 3
- часть 4

Продолжаем конкурс на самый интересный контент в телеграм-каналах Proglib!
Призовой фонд — 280 тысяч рублей. Срок окончания конкурса — 15 мая

Автор лучшего поста в отдельно взятом канале получает 20 тысяч рублей.
Мы упростили конкурс — теперь вам достаточно найти интересную и актуальную статью 2020-2021 года, написать к ней небольшой анонс (до 700 знаков) и прислать нам, тем не менее ваши идеи по другим форматам только добавляют + в общий зачет. Авторство можем указать по вашему желанию. В канале @progbook предлагаем отправлять рецензии на новые книги и старые актуальные.

Полный список каналов:
https://t.me/progbook
https://t.me/proglibrary
https://t.me/pyproglib
https://t.me/frontendproglib
https://t.me/javaproglib
https://t.me/dsproglib
https://t.me/phpproglib
https://t.me/cppproglib
https://t.me/mobileproglib
https://t.me/goproglib
https://t.me/csharpproglib
https://t.me/devopsslib
https://t.me/testerlib
https://t.me/hackproglib

Все посты будут с лайками и дизлайками и хэштегом #proglib_contest. Ссылки мы будем прогонять через наш сокращатель, будут браться в расчет лайки, дизлайки, охваты, клики по ссылкам. Чем больше лайков/охватов/кликов по ссылкам в публикации, тем больше шансов стать победителем в конкурсе. Присылайте посты боту @proglib_contest_bot с указанием, на какой канал идет публикация. Юридическая информация здесь.

#pentest #bugbounty

Доклад Tao Yan из Palo Alto Networks на Black Hat 2021 об атаках на IIS и SQL-сервер посредством SQL-инъекций с соответствующими демонстрациями.

#vacancy #mnogodeneg

Для нашего проекта, который https://proglib.io, требуется опытный PHP-разработчик.

Задачи
- Доработка и улучшение функционала движка proglib.io;
- Развитие дополнительных сервисов(например, чат-боты в Telegram), позволяющих прокачивать сообщество вокруг Proglib;

Требования
- Знание php >= 7.3 и всех его возможностей;
- Опыт работы с mysql, навыки написания sql запросов;
- Опыт работы с nosql базами данных;
- Умение работать с кэшированием;
- Написание кода по современным стандартам разработки: статические анализаторы, метрики (phpmetrics, dephpend, deptrac), вменяемый code style;
- Опыт работы с очередями (кролик, beanstalkd), понимание принципа работы очередей: ретраи, стратегии обработки проваленных сообщений, таймауты и так далее;
- Умение писать надежный код, устойчивый к различным воздействиям: невалидные данные, неожиданные сбои и так далее;
- Знание паттернов проектирования и паттернов разработки: circuit breaker, outbox, message bus и другие;
- Быть в курсе за внедрение зависимостей, контейнер внедрения зависимостей, миддлвары, хуки, сериалайзеры данных, как все это работает вообще и во фреймворках в частности;
- Опыт написания тестов и желание их писать;
- Опыт работы с Symfony или отсутствие опыта работы с Yii, Codeigniter, Bitrix, WP будет плюсом.

Условия
- Стабильно растущий проект;
- Уютный офис на Таганке, возможность несколько дней работать на удаленке;
- Корпоративное питание;
- Весёлый дружелюбный коллектив и неформальная обстановка;
- Гибкий график, отсутствие дресс-кода;
- Лояльное руководство и возможность посещать профильные мероприятия за счёт компании;
- Зарплата: 150-200 тыс. рублей.

Для связи можно писать в телеграм: @theasder.

#bugbounty #career

Интервью с Эриком Хэдом — одним из топовых белых хакеров

Сегодня Эрик переосмысливает, что значит быть хакером, продвигая в массы сияющий позитив, навыки самообучения, автоматизацию, пропаганду осознанности и психическое здоровье. Эрик занимает первое место среди исследователей как на HackerOne, так и на Bugcrowd , недавно превысив 2 миллиона долларов, заработанных на поиске багов.

В интервью Эрик рассказывает о том, как работает CodeCanCare, об автоматизации его повседневной жизни и о влиянии его успеха на его взгляды на жизнь.

https://proglib.io/w/e73fcb49

#proglib_contest

ВЗЛАМЫВАТЬ

– JS для хакеров, SQL-инъекции, кликджекинг
– Пентестинг и баг баунти
– Криптография, криптоатаки и еще очень много всего

Ещё не умеешь хакать?...
НЕ ПРОБЛЕМА.

Можно научиться взламывать с нуля. Много полезных видеоуроков, практические челленджи, марафоны и вебинары.

Если хочешь стать белым хакером, но не знаешь с чего начать, то ТУТ будет много полезной информации. А если ты уже опытный хакер, то сможешь посоревноваться с другими и показать свои скилы.

​Есть опыт и знания в IT, которыми Вы хотите поделиться?

Станьте автором технических статей вместе с Proglib и получайте достойное вознаграждение!

Библиотека программиста приглашает к сотрудничеству внештатных авторов,
которые хотят поделиться знаниями, пропиарить свой авторский блог или просто заработать.
Мы предлагаем удаленную работу, гибкий график, возможность зарабатывать до 12к за статью и выплаты 2 раза в месяц.
Мы не ограничиваем в количестве статей.
Постоянным авторам предусмотрены премии за лояльность.

Интересующие направления для написания статей:

• Data Science, BigData и Machine Learning
• Блокчейн
• DevOps
• Информационная и Кибербезопасность
• Ruby on Rails
• C / C++/ C#
• Python
• Java
• Go разработка
• Разработка игр
• Android-разработка
• iOS-разработка
• Системная и бизнес аналитика
• Тестирование ПО
• Виртуальная реальность
• 1С
• Business Intelligence
• Интернет вещей
• Системы и сети
• IT Management

Оставьте заявку на https://proglib.io/w/692ca1cd и мы свяжемся с вами!

​#security

Представьте, что в вашем приложении есть несколько протоколов и токенов, более 200 миллионов пользователей и тысячи типов устройств.

В таком случае работа с протоколами безопасности, токенами идентификации, а также с аутентификацией пользователей и устройств может стать сложной задачей, не так ли? В Netflix успешно с ней справились. Читайте статью, если интересны детали реализации.

https://proglib.io/w/14aa2790

Продлеваем на неделю конкурс #proglib_contest на самый интересный контент в телеграм-каналах Библиотеки программиста.

Почему? Мы выделили большой призовой фонд и хотим разыграть его среди активных читателей. Но пока мало кто успел поучаствовать. Смекалистые подписчики уже поняли: шансы выиграть очень высоки. За лучший пост в любом из телеграм-каналов Библиотеки программиста автор поста получит 20 000 ₽.

Каналов 14 штук, названия говорят сами за себя: @progbook, @proglibrary, @pyproglib, @frontendproglib, @javaproglib, @dsproglib, @phpproglib, @cppproglib, @mobileproglib, @goproglib, @csharpproglib, @devopsslib, @testerlib, @hackproglib. Таким образом, призовой фонд составляет 280 000 ₽.

Очень простые условия:
1) Найдите интересную и актуальную статью, вышедшую в 2020-21 годах, и напишите к ней анонс объемом до 700 знаков. Для @progbook можно написать рецензию на книгу.
2) Пришлите текст анонса и название целевого канала нашему боту @proglib_contest_bot.

Выиграет тот, чей пост в канале наберёт больше лайков/охватов/кликов по ссылкам. Юридическая информация: https://proglib.io/best-post-contest.