5️⃣ простых способов взломать веб-приложение, использующее GraphQL
Если вы нашли нужный эндроинт (например,
🔷 Introspection query enabled
🔷 Introspection field suggestions
🔷 GET/POST based CSRF
🔷 Bypassing rate limits
🔷 Denial of service through batched queries
И да, это не исчерпывающий список. В гайде среди прочего перечислены инструменты, которые автоматизируют ручную работу.
👉 Читать
#pentest #bugbounty #guide
Если вы нашли нужный эндроинт (например,
/graphql), вариантов дальнейшей эксплуатации может быть несколько:🔷 Introspection query enabled
🔷 Introspection field suggestions
🔷 GET/POST based CSRF
🔷 Bypassing rate limits
🔷 Denial of service through batched queries
И да, это не исчерпывающий список. В гайде среди прочего перечислены инструменты, которые автоматизируют ручную работу.
👉 Читать
#pentest #bugbounty #guide
🐧🔐 Qubes OS — опенсорсный Linux-дистрибутив для параноиков, построенный на базе гипервизора Xen, который позволяет создавать домены — виртуальные окружения, внутри которых приложения работают в изоляции.
Вы можете создавать домены на базе разных дистрибутивов (образов), и они смогут «общаться» между собой. В Qubes доменов может быть сколько угодно!
📦 Скачать
#linux #security
Вы можете создавать домены на базе разных дистрибутивов (образов), и они смогут «общаться» между собой. В Qubes доменов может быть сколько угодно!
📦 Скачать
#linux #security
🔏 Auto Tor IP changer — инструмент для автоматической смены IP-адреса
P. S. Не забываем настроить, через сколько будет меняться IP (каждые N секунд)
👉 GitHub
sudo apt install tor
pip3 install requests[socks]
git clone https://github.com/FDX100/Auto_Tor_IP_changer.git
cd Auto_Tor_IP_changer
python3 install.py
P. S. Не забываем настроить, через сколько будет меняться IP (каждые N секунд)
👉 GitHub
🤯⚡️ regreSSHion: удаленная уязвимость pre-auth RCE в OpenSSH сервере
Что еще может перевернуть обычный день в ИБ-сообществе, как не критическая уязвимость в популярном сервисе?
Уязвимость получила идентификатор CVE-2024-6387 и затрагивает OpenSSH (с версии >= 8.5 и < 4.4). Она позволяет удалённо выполнить код с правами root в Linux-системах на базе glibc.
👉 Читать исследование
#research #CVE
Что еще может перевернуть обычный день в ИБ-сообществе, как не критическая уязвимость в популярном сервисе?
Уязвимость получила идентификатор CVE-2024-6387 и затрагивает OpenSSH (с версии >= 8.5 и < 4.4). Она позволяет удалённо выполнить код с правами root в Linux-системах на базе glibc.
👉 Читать исследование
#research #CVE
💻⌛ 8 причин участвовать в хакатонах
💵 ТОП-15 самых востребованных профессий в ИТ: куда все катится в 2024 году
💡 Кем работать в IT, если ты гуманитарий: 10 альтернативных профессий
🐍🕵 5 лучших Python инструментов для специалистов по кибербезопасности
📧 Отклик на вакансию по email: как сделать так, чтобы ваше письмо выделялось
Please open Telegram to view this post
VIEW IN TELEGRAM
Нравится ли вам контент, публикуемый на канале?
Anonymous Poll
77%
Да, продолжайте в том же духе
9%
Нравится, но не все (напишу в комментарии)
5%
Не нравится
1%
Свой вариант (напишу в комментарии)
8%
Посмотреть результаты
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
В ходе расследования одного из инцидентов команда PT Expert Security Center нашла следы новой версии Go-инструмента, который встречался ранее в ряде российских компаний.
О главных особенностях хакерского инструмента и том, как его удалось найти и привязать к ExCobalt, читайте в статье или отчете👇
📑 Читать полный отчет
⛓️💥 Читать основные выжимки
#hacking #blueteam
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔓 Access tokens в Windows: объяснение принципа работы для этичного хакера от ACE Responder
#cheatsheet #pentest #redteam
#cheatsheet #pentest #redteam
Undefined behavior — боль, знакомая каждому разработчику со стажем; эдакий «код Шредингера», когда не знаешь, правильно тот работает или нет. К счастью, стандарты языка С++20/23/26 привнесли относительно неопределенного поведения кое-что новое. И довольно важное, если вы — архитектор ПО, а «плюсы» — ключевой стек вашей компании.
В этой статье Сергей Талантов со своих позиций Senior Software Architect и Security Champion в микроядерной операционной системе KasperskyOS рассматривает кейсы-ловушки, в которые можно попасть практически в любом из стандартов, и показывает, что меняется в С++20/23/26, — уменьшается ли количество кейсов с неопределенным поведением, и становится ли С++ безопаснее.
👉 Читать
#security
Please open Telegram to view this post
VIEW IN TELEGRAM
Мы пишем статью о способах измерения личностного роста программистов и нам нужна ваша помощь! 🚀
📊 Какие метрики вы используете для оценки своего прогресса?
🤔 Как вы понимаете, что выросли профессионально?
💡 Есть ли у вас свои уникальные способы отслеживания развития?
💬 Поделитесь вашим опытом в комментариях! Лучшие идеи попадут в нашу статью!
#интерактив
📊 Какие метрики вы используете для оценки своего прогресса?
🤔 Как вы понимаете, что выросли профессионально?
💡 Есть ли у вас свои уникальные способы отслеживания развития?
💬 Поделитесь вашим опытом в комментариях! Лучшие идеи попадут в нашу статью!
#интерактив
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
#windows #cheatsheet
Please open Telegram to view this post
VIEW IN TELEGRAM
💰 Magento XXE в деталях (CVE-2024-34102)
Команда Assetnode провела очередную блестящую работу, воспроизведя недавнюю pre-authentication XML entity injection в Magento. Автор уязвимости — Сергей Темников. Его исследование можно прочитать здесь, но оно не содержит пруфов.
👉 Читать
#writeup #CVE
Команда Assetnode провела очередную блестящую работу, воспроизведя недавнюю pre-authentication XML entity injection в Magento. Автор уязвимости — Сергей Темников. Его исследование можно прочитать здесь, но оно не содержит пруфов.
👉 Читать
#writeup #CVE