🔧 Proxy в JavaScript и TypeScript: 7 способов использования

Объект Proxy в JavaScript/TypeScript — суперполезный инструмент, который открывает множество возможностей для управления и манипуляции объектами и функциями. Рассмотрим несколько практических примеров использования Proxy для кэширования, логирования, динамической валидации и вызова методов цепочкой.

👉 Читать статью
👉 Зеркало

⚒️ unfurl — это просто и круто 🚀

Извлекайте фрагменты URL-адресов, включая домены, TLD, пути и многое другое!

👉 GitHub

#tools #recon

⬆️🆕 Какой дополнительный soft skill вы бы добавили в список?
📈 Как вы развиваете свои soft skills?

Поделитесь своими мыслями и опытом в комментариях! Самые интересные идеи и предложения мы обязательно включим в статью. Спасибо за участие! 🙏

🔴 Красная команда, черный день: почему матерые пентестеры лажают в Red Team

Автор статьи из команды Бастион тряхнул стариной и рассказал об одном из своих первых редтим-проектов и поделился опытом работы:

☑️ Разобрал различия между Red Team и пентестом с точки зрения исполнителя.
☑️ Поделился приемами оффлайн-разведки и рассмотрел процесс поиска уязвимостей на примере реального кейса.
☑️ Показал типичные ошибки, которые совершают пентестеры, переходящие в редтим.

#redteam #practice

⚒️ Ключевые порты и протоколы компьютерных сетей: на заметку этичному хакеру

#этобаза

🧰 UserFinder — простой bash-скрипт для поиска профилей по имени пользователя. Под капотом он просто дёргает эндпоинты соцсетей, но когда время ограничено именно такие скрипты приносят максимальную пользу, находя то, что не ожидаешь!

👉 GitHub

#OSINT #tools

☑️ Загрузка изображений профиля (часто позволяет пользователям указывать URL)
☑️ Сервисы Webhook и внешние обработчики данных
☑️ Генераторы PDF-файлов
☑️ Неограниченная загрузка файлов (например, через XML-файл)
☑️ Прокси-серверы CORS (используются для обхода CORS ограничений браузера)
☑️ Обработка заголовка запроса (например, Host или X-Forwarded-For)

В каком функционале веб-приложения можно еще найти SSRF? Читайте об этом и многом другом в полном гайде от Intigriti.

👉 Читать

#guide #tips

🐧💡Если вы не можете вспомнить название команды в Linux, просто используйте ключевые слова для поиска на страницах руководства.

$ man -k grep

#tips #linux

🖥 Помните тот самый день синего экрана, который парализовал работу многих Windows-систем по всему миру?

Команда CrowdStrike опубликовала публичный отчет с описанием проблемы. Синий экран возник в результате проблем в системе проверки обновлений конфигурации контента для сенсора Windows, которые являются регулярной частью динамических защитных механизмов платформы CrowdStrike Falcon. Инцидент затронул системы Windows с версией сенсора 7.11 и выше, которые были в сети между 19 июля 2024 г., 04:09 UTC и 05:27 UTC и получили обновление.

Обновление, положившее системы, прошло только автоматическое тестирование и не было проверено локально на устройствах, что потенциально могло выявить проблему.

Само обновление относилось к обнаружению вредоносных именованных каналов в С2-фреймворках. Исследователи предположили, что речь про новые фичи Cobalt Strike в релизе за пару дней до катастрофы. Иными словами, торопились с выпуском обновления под свежие угрозы и понадеялись на удачу.

#security

💡Разрушение барьеров и предположений: техники повышения привилегий в Windows от команды Zero Day Initiative

🔸 Часть 1
🔸 Часть 2
🔸 Часть 3

#redteam #pentest #bestpractices

👂Прислушайтесь к шепоту: временные веб-атаки, которые действительно работают

Перед вами результаты исследования James Kettle из PortSwigger, которое он представил на DEF CON. Вас ждут новые концепции атак, позволяющие узнать секреты сервера, включая замаскированные неверные конфигурации, слепое внедрение структур данных, скрытые маршруты к запрещенным зонам и обширную область невидимых поверхностей атак.

👉 Читать онлайн

#research #bugbounty #pentest