#pentest #bugbounty

Доклад Tao Yan из Palo Alto Networks на Black Hat 2021 об атаках на IIS и SQL-сервер посредством SQL-инъекций с соответствующими демонстрациями.

#vacancy #mnogodeneg

Для нашего проекта, который https://proglib.io, требуется опытный PHP-разработчик.

Задачи
- Доработка и улучшение функционала движка proglib.io;
- Развитие дополнительных сервисов(например, чат-боты в Telegram), позволяющих прокачивать сообщество вокруг Proglib;

Требования
- Знание php >= 7.3 и всех его возможностей;
- Опыт работы с mysql, навыки написания sql запросов;
- Опыт работы с nosql базами данных;
- Умение работать с кэшированием;
- Написание кода по современным стандартам разработки: статические анализаторы, метрики (phpmetrics, dephpend, deptrac), вменяемый code style;
- Опыт работы с очередями (кролик, beanstalkd), понимание принципа работы очередей: ретраи, стратегии обработки проваленных сообщений, таймауты и так далее;
- Умение писать надежный код, устойчивый к различным воздействиям: невалидные данные, неожиданные сбои и так далее;
- Знание паттернов проектирования и паттернов разработки: circuit breaker, outbox, message bus и другие;
- Быть в курсе за внедрение зависимостей, контейнер внедрения зависимостей, миддлвары, хуки, сериалайзеры данных, как все это работает вообще и во фреймворках в частности;
- Опыт написания тестов и желание их писать;
- Опыт работы с Symfony или отсутствие опыта работы с Yii, Codeigniter, Bitrix, WP будет плюсом.

Условия
- Стабильно растущий проект;
- Уютный офис на Таганке, возможность несколько дней работать на удаленке;
- Корпоративное питание;
- Весёлый дружелюбный коллектив и неформальная обстановка;
- Гибкий график, отсутствие дресс-кода;
- Лояльное руководство и возможность посещать профильные мероприятия за счёт компании;
- Зарплата: 150-200 тыс. рублей.

Для связи можно писать в телеграм: @theasder.

#bugbounty #career

Интервью с Эриком Хэдом — одним из топовых белых хакеров

Сегодня Эрик переосмысливает, что значит быть хакером, продвигая в массы сияющий позитив, навыки самообучения, автоматизацию, пропаганду осознанности и психическое здоровье. Эрик занимает первое место среди исследователей как на HackerOne, так и на Bugcrowd , недавно превысив 2 миллиона долларов, заработанных на поиске багов.

В интервью Эрик рассказывает о том, как работает CodeCanCare, об автоматизации его повседневной жизни и о влиянии его успеха на его взгляды на жизнь.

https://proglib.io/w/e73fcb49

#proglib_contest

ВЗЛАМЫВАТЬ

– JS для хакеров, SQL-инъекции, кликджекинг
– Пентестинг и баг баунти
– Криптография, криптоатаки и еще очень много всего

Ещё не умеешь хакать?...
НЕ ПРОБЛЕМА.

Можно научиться взламывать с нуля. Много полезных видеоуроков, практические челленджи, марафоны и вебинары.

Если хочешь стать белым хакером, но не знаешь с чего начать, то ТУТ будет много полезной информации. А если ты уже опытный хакер, то сможешь посоревноваться с другими и показать свои скилы.

​Есть опыт и знания в IT, которыми Вы хотите поделиться?

Станьте автором технических статей вместе с Proglib и получайте достойное вознаграждение!

Библиотека программиста приглашает к сотрудничеству внештатных авторов,
которые хотят поделиться знаниями, пропиарить свой авторский блог или просто заработать.
Мы предлагаем удаленную работу, гибкий график, возможность зарабатывать до 12к за статью и выплаты 2 раза в месяц.
Мы не ограничиваем в количестве статей.
Постоянным авторам предусмотрены премии за лояльность.

Интересующие направления для написания статей:

• Data Science, BigData и Machine Learning
• Блокчейн
• DevOps
• Информационная и Кибербезопасность
• Ruby on Rails
• C / C++/ C#
• Python
• Java
• Go разработка
• Разработка игр
• Android-разработка
• iOS-разработка
• Системная и бизнес аналитика
• Тестирование ПО
• Виртуальная реальность
• 1С
• Business Intelligence
• Интернет вещей
• Системы и сети
• IT Management

Оставьте заявку на https://proglib.io/w/692ca1cd и мы свяжемся с вами!

​#security

Представьте, что в вашем приложении есть несколько протоколов и токенов, более 200 миллионов пользователей и тысячи типов устройств.

В таком случае работа с протоколами безопасности, токенами идентификации, а также с аутентификацией пользователей и устройств может стать сложной задачей, не так ли? В Netflix успешно с ней справились. Читайте статью, если интересны детали реализации.

https://proglib.io/w/14aa2790

Продлеваем на неделю конкурс #proglib_contest на самый интересный контент в телеграм-каналах Библиотеки программиста.

Почему? Мы выделили большой призовой фонд и хотим разыграть его среди активных читателей. Но пока мало кто успел поучаствовать. Смекалистые подписчики уже поняли: шансы выиграть очень высоки. За лучший пост в любом из телеграм-каналов Библиотеки программиста автор поста получит 20 000 ₽.

Каналов 14 штук, названия говорят сами за себя: @progbook, @proglibrary, @pyproglib, @frontendproglib, @javaproglib, @dsproglib, @phpproglib, @cppproglib, @mobileproglib, @goproglib, @csharpproglib, @devopsslib, @testerlib, @hackproglib. Таким образом, призовой фонд составляет 280 000 ₽.

Очень простые условия:
1) Найдите интересную и актуальную статью, вышедшую в 2020-21 годах, и напишите к ней анонс объемом до 700 знаков. Для @progbook можно написать рецензию на книгу.
2) Пришлите текст анонса и название целевого канала нашему боту @proglib_contest_bot.

Выиграет тот, чей пост в канале наберёт больше лайков/охватов/кликов по ссылкам. Юридическая информация: https://proglib.io/best-post-contest.

#pentest #bugbounty

У каждого пентестера есть любимый словарь для веб-фаззинга, но хорошо, когда под боком есть словарь, составленный из лучших на текущий момент. Всегда расширяйте поверхность атаки. Запускайте фаззер вместе с onelistforall.txt и ложитесь спать.

https://proglib.io/w/4603540e

#bugbounty #pentest

Чек-лист для проведения внешнего пентеста, который можно адаптировать под себя

Каждый белый хакер должен владеть PowerShell, а данное руководство поможет в этом 👇

PowerShell Pocket Reference, 3rd Edition

Автор: Lee Holmes

Представленны справочник по PowerShell обобщает командную оболочку и язык сценариев и предоставляет краткое руководство по многим задачам, которые делают PowerShell настолько полезным.

Если вы занятый администратор и у вас нет времени копаться в огромных книгах или углубленном поиске в Интернете, это — идеальный инструмент для работы.

Это издание, написанное членом команды PowerShell, предлагает актуальную информацию о Windows PowerShell 5.1 и PowerShell Core с открытым исходным кодом до 7 и более поздних версий.

Это удобное руководство, которое начинается с экскурсии по PowerShell и охватывает следующие темы:

- Язык и среда PowerShell
- Справочник по регулярным выражениям
- Краткий справочник по XPath
- Форматирование строк .NET
- Форматирование .NET DateTime
- Классы .NET и их использование
- Справочник WMI
- COM-объекты и их использование
- Стандартные глаголы PowerShell, указывающий на действие, выполняемое командлетом

​Кругом только и слышно, что об искусственном интеллекте, машинном обучении, Data Science... Но как начинаешь разбираться, нужна серьёзная математическая подготовка на уровне вуза. Мы пригласили опытных преподавателей МГУ помочь нашим читателям подготовиться к карьере дата сайентиста.

В наборе всё, что нужно: мат. анализ, линейная алгебра, комбинаторика, теория вероятностей и мат. статистика. Кстати, именно такой багаж знаний требуют от абитуриентов ШАД. Каждая тема сопровождается подготовительными материалами, лекциями и практическими заданиями. Всё это с обратной связью кураторов и преподавателей.

Полная программа курса и прочая информация здесь: https://proglib.io/w/95530823
Специально для наших подписчиков скидка 15% по промокоду HACKER
Поспешите, осталось всего 9 мест.

Learn Kubernetes Security: Securely orchestrate, scale, and manage your microservices in Kubernetes deployments (2020)

Авторы: Kaizhe Huang, Pranjal Jumde

Kubernetes — это портативная расширяемая платформа с открытым исходным кодом для управления контейнеризованными рабочими нагрузками и сервисами.

С помощью данного практического руководства вы сможете защитить контейнерную среду от кибератак и обеспечить надежное развертывание.

В ходе чтения книги вы изучите:

- Основы архитектуры, сетей, моделирования угроз и безопасности Kubernetes
- Различные интеграции безопасности, предоставляемые Kubernetes
- Методы смягчения или предотвращения известных вариантов взлома Kubernetes
- Основные компоненты Kubernetes, которые помогут предотвратить кибератаки
- Способы эффективного управления ресурсами и мониторинга с помощью Prometheus и встроенных инструментов Kubernetes
- Методы предотвращения взлома приложений и доступа злоумышленников к ресурсам для майнинга криптовалют

Мы тут с ребятами думаем запустить курс в виде зум и/или оффлайн-встреч, часть курса запишем с топовыми психологами, поэтому если вам интересно, ответьте на 3 вопроса в нашей форме (оринтировочно это займет 2-3 минуты)
https://forms.gle/nBJxwf9pFbYw3mNm9

В форме нет обязательных вопросов.

#bugbounty #career

Очередное интересное интервью с хакером 0xkasper — участником CTF, студентом и охотником за багами.

https://proglib.io/w/76bcf946

#bugbounty #pentest

sec_r0 делится техниками взлома с помощью Burp Suite каждый день в течение 30 дней. Если вы хотите повысить свои навыки в пентесте, обязательно применяйте эти советы.

https://proglib.io/w/49c13981

#security

Хоть и старые, но очень толковые видеоуроки по основам сетевой безопасности.

https://proglib.io/w/9d74f32f

#proglib_contest

Что такое руткит?

Руткит (rootkit) — это программное средство или набор утилит, позволяющих злоумышленнику закрепиться в атакованной системе и скрыть следы своей деятельности.

Это происходит, как правило, путём скрытия файлов, процессов и присутствия руткита в системе. О том, что это такое, как они работают, какие бывают типы и, самое главное, как их идентифицировать в своей системе, расскажет статья.

https://proglib.io/w/5162c04b

#pentest

Введение в пентест веб-приложений и описание наиболее популярных инструментов, используемых при пентесте.

​#proglib_contest

Руководство для начинающих по переполнению буфера

Переполнение буфера происходит при перезаписи фрагментов памяти процесса или программы. Перезапись значений определенных указателей и регистров процесса вызывает сбои сегментации, которые вызывают несколько ошибок, приводящих к завершению выполнения программы необычным образом.

Руководство покажет основные концепции атак на переполнение буфера Windows и атаки переполнения буфера на основе стека.

https://proglib.io/w/7ce6c35e

Подходит к концу эпический конкурс на самый интересный контент в телеграм-каналах Библиотеки программиста. Посты собирают всё больше откликов — спасибо за ваши старания!

У всех, кто хотел поучаствовать, остался последний шанс побороться за 20 000 ₽ в каждом из каналов: @progbook, @proglibrary, @pyproglib, @frontendproglib, @javaproglib, @dsproglib, @phpproglib, @cppproglib, @mobileproglib, @goproglib, @csharpproglib, @devopsslib, @testerlib, @hackproglib. Общий призовой фонд 280 000 ₽.

До полуночи примем последние посты — в некоторых каналах шансы на победу всё ещё высокие. Лайфхак: эти каналы нетрудно вычислить по хэштегу #proglib_contest 😉.

Напоминаем, как участвовать: пишем анонс до 700 знаков к любой актуальной айтишной статье 2020-21 годов или рецензию книги для @progbook. Отправляем получившийся текст и название канала боту @proglib_contest_bot. Чей пост в канале наберёт больше откликов, тот и выиграл.

Через три дня подведем итоги и огласим список победителей. Юридическая информация: https://proglib.io/best-post-contest.