splitting-the-email-atom.pdf
3 MB
📨 Использование синтаксических анализаторов для обхода контроля доступа
Некоторые сайты анализируют адреса электронной почты, чтобы выделить домен и определить, к какой организации принадлежит владелец. Этот шаблон приводит к критическим расхождениям при парсинге почтовых адресов.
Предсказать, на какой домен будет направлено электронное письмо, должно быть просто, но на самом деле это до смешного сложно — даже для «действительных» адресов, совместимых с RFC.
В новом исследовании PortSwigger Gareth Heyes показывает, как использовать несоответствия при анализе электронной почты для обхода контроля доступа и даже для RCE.
К исследованию прилагается бесплатный ctf, чтобы сразу же опробовать свои новые навыки.
➡️ Содержание:
● Введение
● Создание путаницы в доменах электронной почты
● Несоответствия в синтаксическом анализе
● Punycode
● Методология/инструментарий
● Защита
● Материалы
● CTF
● Выводы
● Хронология
● Ссылки
👉 Читать онлайн
#pentest #research
Некоторые сайты анализируют адреса электронной почты, чтобы выделить домен и определить, к какой организации принадлежит владелец. Этот шаблон приводит к критическим расхождениям при парсинге почтовых адресов.
Предсказать, на какой домен будет направлено электронное письмо, должно быть просто, но на самом деле это до смешного сложно — даже для «действительных» адресов, совместимых с RFC.
В новом исследовании PortSwigger Gareth Heyes показывает, как использовать несоответствия при анализе электронной почты для обхода контроля доступа и даже для RCE.
К исследованию прилагается бесплатный ctf, чтобы сразу же опробовать свои новые навыки.
➡️ Содержание:
● Введение
● Создание путаницы в доменах электронной почты
● Несоответствия в синтаксическом анализе
● Punycode
● Методология/инструментарий
● Защита
● Материалы
● CTF
● Выводы
● Хронология
● Ссылки
👉 Читать онлайн
#pentest #research
This media is not supported in your browser
VIEW IN TELEGRAM
Привет, друзья! 👋
Мы готовим статью о том, что делать, если вы наврали в резюме, и нам нужна ваша помощь! 🤔
Поделитесь своим опытом и мнением, а самые интересные и полезные советы мы обязательно включим в нашу статью.
❓ Сталкивались ли вы когда-нибудь с ситуацией, когда пришлось преувеличить свои навыки в резюме? Как вы с этим справились?
❓ Какой, по вашему мнению, самый эффективный способ исправить ситуацию, если вы немного приукрасили свое резюме?
❓ Как вы думаете, какая «ложь» в резюме может быть простительной, а какая — абсолютно недопустимой?
💬 Не стесняйтесь делиться своими историями и мнениями в комментариях! Ваш опыт может помочь другим избежать подобных ситуаций или найти выход, если они уже в них оказались. Спасибо за участие!
Мы готовим статью о том, что делать, если вы наврали в резюме, и нам нужна ваша помощь! 🤔
Поделитесь своим опытом и мнением, а самые интересные и полезные советы мы обязательно включим в нашу статью.
❓ Сталкивались ли вы когда-нибудь с ситуацией, когда пришлось преувеличить свои навыки в резюме? Как вы с этим справились?
❓ Какой, по вашему мнению, самый эффективный способ исправить ситуацию, если вы немного приукрасили свое резюме?
❓ Как вы думаете, какая «ложь» в резюме может быть простительной, а какая — абсолютно недопустимой?
💬 Не стесняйтесь делиться своими историями и мнениями в комментариях! Ваш опыт может помочь другим избежать подобных ситуаций или найти выход, если они уже в них оказались. Спасибо за участие!
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Сузить круг хакерских ресурсов, которые подходят вашему стилю обучения, может быть непросто. Смотрите, как Katie aka InsiderPhD делится своими любимыми ресурсами.
#bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Proglib.academy | IT-курсы
🧠⬇️ Есть мнение: уровень знаний айтишников снизился
В последнее время тревожные мнения о снижении уровня знаний среди IT-специалистов все чаще звучат в профессиональном сообществе и СМИ. В этой статье мы выясним, так ли это на самом деле, рассмотрев конкретные примеры и факторы, влияющие на уровень знаний IT-специалистов.
Не согласен, что знания убывают — тогда забирай курс по Алгоритмам от базы до эксперт уровня:
🔵 Алгоритмы и структуры данных
🔗 Ссылка
В последнее время тревожные мнения о снижении уровня знаний среди IT-специалистов все чаще звучат в профессиональном сообществе и СМИ. В этой статье мы выясним, так ли это на самом деле, рассмотрев конкретные примеры и факторы, влияющие на уровень знаний IT-специалистов.
Не согласен, что знания убывают — тогда забирай курс по Алгоритмам от базы до эксперт уровня:
🔗 Ссылка
Please open Telegram to view this post
VIEW IN TELEGRAM
🔍 Охота на CVE стала проще
Всего за три выходных автор статьи обнаружил 14 CVE — и вы тоже можете это сделать! Охота за CVE более доступна, чем многие думают, а описанная им методология требует лишь небольших знаний в области программирования.
👉 Читать
#bestpractices #pentest #bugbounty
Всего за три выходных автор статьи обнаружил 14 CVE — и вы тоже можете это сделать! Охота за CVE более доступна, чем многие думают, а описанная им методология требует лишь небольших знаний в области программирования.
👉 Читать
#bestpractices #pentest #bugbounty
Используете ли вы VPN?
Anonymous Poll
14%
Нет, мне лень
23%
Очень редко по особым случаям
36%
Регулярно
15%
Почти не выключаю/каждый день
12%
Посмотреть результаты
Команда
less позволяет перематывать текст не только вперёд, но и назад, осуществлять поиск в обоих направлениях, переходить сразу в конец или в начало файла.👉 Источник
#cheatsheet #linux
Please open Telegram to view this post
VIEW IN TELEGRAM
🛠️ Burp Suite Deep Dive: курс для этичного хакера
Научитесь работать с лучшим инструментом для поиска багов и вы увидите, как изменится ваша результативность в данном ремесле.
📺 Смотреть
#pentest #bugbounty
Научитесь работать с лучшим инструментом для поиска багов и вы увидите, как изменится ваша результативность в данном ремесле.
#pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
🐞 Радиосигналы в диапазоне до 1 ГГц (Sub-GHz)
🐛 Карты доступа (NFC/RFID)
🐜 Инфракрасные (IR) пульты
🦟 Bluetooth пульты
🪲 Расширения через GPIO и WiFi
Начните с этого руководства для начинающих по Flipper Zero.
#pentest #guide
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🛠️ ffuf — один из любимых инструментов багхантеров. Почему бы не позволить ИИ выбирать расширения для ffuf? Это может сделать автоматизацию намного точнее и полезнее.
Ловите ffufai, wrapper на базе ИИ для популярного ffuf. Он автоматически предлагает расширения файлов для фаззинга на основе целевого URL и его заголовков, используя либо модели OpenAI GPT, либо модели Anthropic Claude AI.
👉 GitHub
#tools #recon
Ловите ffufai, wrapper на базе ИИ для популярного ffuf. Он автоматически предлагает расширения файлов для фаззинга на основе целевого URL и его заголовков, используя либо модели OpenAI GPT, либо модели Anthropic Claude AI.
👉 GitHub
#tools #recon
Forwarded from Proglib.academy | IT-курсы
💀 Как гарантированно провалить собеседование: 10 верных способов
В интернете можно найти много статей с советами, как идеально пройти собеседование: что говорить, как говорить, как себя вести, с чем приходить, как готовиться, где готовиться, какую информацию предварительно изучить. В общем, инструкций — вагон. Но, если честно, не очень хочется повторяться. Поэтому мы подготовили шуточную статью, как точно провалить собеседование.
Чтобы не завалить собеседование — забирайте наш курс:
🔵 Базовые модели ML и приложения
🔗 Ссылка на статью
В интернете можно найти много статей с советами, как идеально пройти собеседование: что говорить, как говорить, как себя вести, с чем приходить, как готовиться, где готовиться, какую информацию предварительно изучить. В общем, инструкций — вагон. Но, если честно, не очень хочется повторяться. Поэтому мы подготовили шуточную статью, как точно провалить собеседование.
Чтобы не завалить собеседование — забирайте наш курс:
🔗 Ссылка на статью
Please open Telegram to view this post
VIEW IN TELEGRAM
😀 Платные подписки есть? А если найду?!
💬 А у вас есть? На какие сервисы? Поделитесь в комментариях👇
#холивар
💬 А у вас есть? На какие сервисы? Поделитесь в комментариях👇
#холивар
На прошлой неделе исследователи Сэм Карри и Иэн Кэрролл сообщили о серьезной уязвимости в одном из сервисов, используемых для обеспечения безопасности в аэропортах США. Контроль безопасности во всех аэропортах передан общей администрации, известной как Transportation Security Administration. TSA обеспечивает в том числе специальные программы TSA PreCheck, ускоряющие проход для обычных пассажиров. Для пилотов и членов экипажей, как правило, предусмотрена отдельная очередь. Как выяснили Карри и Кэрролл, для записи в «члены экипажа» существует отдельная система, открытая для ряда сторонних организаций. И в одном из таких сторонних сервисов обнаружилась довольно банальная уязвимость.
Систему контроля доступа FlyCASS оказалось легко обойти: веб-сервис был подвержен банальной уязвимости, обеспечивающей возможность SQL-инъекции. Используя логин
' or '1'='1 и пароль ') OR MD5('1')=MD5('1 исследователи смогли получить доступ к админке одной из использующих сервис авиакомпаний 🤷♂️👉 Подробнее
#pentest
Please open Telegram to view this post
VIEW IN TELEGRAM