listen-to-the-whispers.pdf
1.7 MB
👂Прислушайтесь к шепоту: временные веб-атаки, которые действительно работают
Перед вами результаты исследования James Kettle из PortSwigger, которое он представил на DEF CON. Вас ждут новые концепции атак, позволяющие узнать секреты сервера, включая замаскированные неверные конфигурации, слепое внедрение структур данных, скрытые маршруты к запрещенным зонам и обширную область невидимых поверхностей атак.
👉 Читать онлайн
#research #bugbounty #pentest
Перед вами результаты исследования James Kettle из PortSwigger, которое он представил на DEF CON. Вас ждут новые концепции атак, позволяющие узнать секреты сервера, включая замаскированные неверные конфигурации, слепое внедрение структур данных, скрытые маршруты к запрещенным зонам и обширную область невидимых поверхностей атак.
👉 Читать онлайн
#research #bugbounty #pentest
Самые полезные каналы для программистов в одной подборке!
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
Азбука айтишника — здесь мы познаем азы из мира программирования
🤖Про нейросети
Библиотека робототехники и беспилотников | Роботы, ИИ, интернет вещей
Библиотека нейрозвука | Транскрибация, синтез речи, ИИ-музыка
Библиотека нейротекста | ChatGPT, Gemini, Bing
Библиотека нейровидео | Sora AI, Runway ML, дипфейки
Библиотека нейрокартинок | Midjourney, DALL-E, Stable Diffusion
#️⃣C#
Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Книги для джавистов | Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
Библиотека разработчика игр | Gamedev, Unity, Unreal Engine
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
Азбука айтишника — здесь мы познаем азы из мира программирования
🤖Про нейросети
Библиотека робототехники и беспилотников | Роботы, ИИ, интернет вещей
Библиотека нейрозвука | Транскрибация, синтез речи, ИИ-музыка
Библиотека нейротекста | ChatGPT, Gemini, Bing
Библиотека нейровидео | Sora AI, Runway ML, дипфейки
Библиотека нейрокартинок | Midjourney, DALL-E, Stable Diffusion
#️⃣C#
Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Книги для джавистов | Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
Библиотека разработчика игр | Gamedev, Unity, Unreal Engine
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
🗝🔐 На протяжении многих лет мы наблюдали множество атак, использующих веб-кэш для захвата конфиденциальной информации или хранения вредоносного пэйлоада. Однако по мере того, как CDN становились все более популярными, новые расхождения между парсерами URL доказывают, что мы увидели только верхушку айсберга.
В исследовании от Martin Doyhenard из PortSwigger рассмотрено, как ведут себя различные HTTP-серверы и прокси при разборе специально созданных URL-адресов, а также изучены двусмысленности в RFC, которые приводят к путанице путей.
Также представлен набор новых методов, которые можно использовать для эксплуатации несоответствий парсеров и достижения произвольного отравления веб-кэша и обмана на бесчисленных веб-сайтах и провайдерах CDN.
#research #bugbounty #pentest
В исследовании от Martin Doyhenard из PortSwigger рассмотрено, как ведут себя различные HTTP-серверы и прокси при разборе специально созданных URL-адресов, а также изучены двусмысленности в RFC, которые приводят к путанице путей.
Также представлен набор новых методов, которые можно использовать для эксплуатации несоответствий парсеров и достижения произвольного отравления веб-кэша и обмана на бесчисленных веб-сайтах и провайдерах CDN.
#research #bugbounty #pentest
🔪 Человек-швейцарский нож: чем занимаются аналитики ИБ в PT Cyber Analytics
Ирина Зиновкина, руководитель направления аналитических исследований Positive Technologies, рассказывает про работу в команде PT Cyber Analytics, делая акцент на одном из самых интересных направлений, написании исследований.
👉 Читать
#career #research
Ирина Зиновкина, руководитель направления аналитических исследований Positive Technologies, рассказывает про работу в команде PT Cyber Analytics, делая акцент на одном из самых интересных направлений, написании исследований.
👉 Читать
#career #research
Хабр
Человек-швейцарский нож: чем занимаются аналитики ИБ и где мы таких берем
Всем привет! В Positive Technologies есть большая команда PT Cyber Analytics (мы уже немного рассказывали про нее ранее), в которую входит сразу несколько направлений: подготовка отчетов по пентестам,...
💡🐧 В команде
Это полезно, когда нужно выполнить одно и то же действие над несколькими файлами в разных местах.
Приведенная команда — пример вывода прав доступа и другой метаинформации для каждого файла, найденного командой
Вы также можете использовать
Вы также можете выполнять несколько команд с помощью
#tips #linux
find есть опция -exec, которую можно использовать для вызова внешней утилиты и выполнения определенного действия над файлами, которые соответствуют заданным критериям поиска.
$ find ~/ -type f -exec ls -lah {} \;
Это полезно, когда нужно выполнить одно и то же действие над несколькими файлами в разных местах.
Приведенная команда — пример вывода прав доступа и другой метаинформации для каждого файла, найденного командой
find. В ней символ {} является заполнительным для имени файла и должен быть последним элементом в списке параметров; символ ; указывает на конец списка параметров и должен быть экранирован обратной косой чертой "\", иначе шелл интерпретирует его.Вы также можете использовать
+ вместо ;, чтобы указать на конец списка параметров. Между + и фигурными скобками {} должен быть пробел.Вы также можете выполнять несколько команд с помощью
-exec в find, например:
$ find . -name "*.txt" -exec wc {} \; -exec du -sh {} \;
#tips #linux
Enumeration Mindmap.pdf
268.8 KB
🎯 Enumeration mind map
Коллекция инструментов для перебора, которые могут пригодиться на разных этапах пентеста.
👉 Источник
#cheatsheet #pentest
Коллекция инструментов для перебора, которые могут пригодиться на разных этапах пентеста.
👉 Источник
#cheatsheet #pentest
⚒️ В Laravel большинство разрабов отключают режим отладки и добавляют кастомные ошибки для защиты конфиденциальной информации, если приложение принудительно отображает отладку.
Багхантеры в данном случае не всегда докручивают эту возможность и забывают про другие HTTP-методы. На примере выше, в случае использование PUT вместо GET, веб-приложение раскрывает отладочную информацию, если присутствует кастомная страница ошибок.
👉 Источник
#bugbounty #tips
Багхантеры в данном случае не всегда докручивают эту возможность и забывают про другие HTTP-методы. На примере выше, в случае использование PUT вместо GET, веб-приложение раскрывает отладочную информацию, если присутствует кастомная страница ошибок.
👉 Источник
#bugbounty #tips
🤠 Как быстро сгенерировать PoC для CSRF в Burpsuite?
Попробуйте CSRF-PoC-Creator. Это опенсорсное расширение BurpSuite (доступно для Community версии), которое поможет в один клик сгенерировать CSRF proof of concept на основе HTTP-запроса 🤑
👉 Github
#tools #bugbounty
Попробуйте CSRF-PoC-Creator. Это опенсорсное расширение BurpSuite (доступно для Community версии), которое поможет в один клик сгенерировать CSRF proof of concept на основе HTTP-запроса 🤑
👉 Github
#tools #bugbounty
🔎 Google Dork, который работает всегда и везде
В ходе разведки попробуйте что-то вроде
для поиска всех корневых доменов. В случае необходимости можно удалить ненужные результаты поисковой выдачи.
#bugbounty #tips #recon
В ходе разведки попробуйте что-то вроде
© [COMPANY]. All rights reserved.
для поиска всех корневых доменов. В случае необходимости можно удалить ненужные результаты поисковой выдачи.
#bugbounty #tips #recon
❗Вакансии «Библиотеки программиста» — ждем вас в команде!
Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉авторов в наше медиа proglib.io
👉контент-менеджеров для ведения телеграм-каналов
Подробности тут
Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴
Ждем ваших откликов 👾
Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉авторов в наше медиа proglib.io
👉контент-менеджеров для ведения телеграм-каналов
Подробности тут
Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴
Ждем ваших откликов 👾
ad.proglib.io
Вакансии в медиа «Библиотека программиста»
Количество проектов в редакции постоянно растет, так что нам всегда нужны специалисты