С Netlas создание скоупа и его исследование занимает всего несколько минут. Под капотом вас ждут онлайн-инструменты для OSINT, сканер, поисковая система, возможность обнаружения поверхности атаки и многое другое.
#recon #tools #bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Привет, друзья! 👋
Мы хотим обсудить важную тему — токсичность в айтишной среде и значимость поддержки и наставничества. Нам интересно узнать ваше мнение и опыт! Поделитесь своими мыслями, и самые полезные советы мы включим в нашу статью. Вот несколько вопросов для вас:
🤔 Приходилось ли вам сталкиваться с токсичными коллегами на работе? Как вы справлялись с этой ситуацией?
🌟 Какие качества вы считаете важными для хорошего наставника в IT-сфере?
💡 Какие советы вы бы дали тем, кто хочет создать более поддерживающую и позитивную рабочую атмосферу?
Спасибо за ваше участие! Ваши ответы помогут сделать рабочую среду лучше для всех. 🚀
Мы хотим обсудить важную тему — токсичность в айтишной среде и значимость поддержки и наставничества. Нам интересно узнать ваше мнение и опыт! Поделитесь своими мыслями, и самые полезные советы мы включим в нашу статью. Вот несколько вопросов для вас:
🤔 Приходилось ли вам сталкиваться с токсичными коллегами на работе? Как вы справлялись с этой ситуацией?
🌟 Какие качества вы считаете важными для хорошего наставника в IT-сфере?
💡 Какие советы вы бы дали тем, кто хочет создать более поддерживающую и позитивную рабочую атмосферу?
Спасибо за ваше участие! Ваши ответы помогут сделать рабочую среду лучше для всех. 🚀
Media is too big
VIEW IN TELEGRAM
🚕 Дистанционное управление машиной с помощью всего лишь номерного знака
Вы думаете, веб-взлом ограничен только сайтами? А как на счет взлома машины?
Даже так: всех машин Kia, произведенных после 2013 года. Sam Curry делится результатами исследования безопасности, которое привело к возможности удаленно определять местонахождение, отключать стартер, разблокировать и заводить около 15,5 миллионов машин.
👉 А началось все с вот такого HTTP-запроса и ответа 401:
👉 Читать
#pentest #writeup
Вы думаете, веб-взлом ограничен только сайтами? А как на счет взлома машины?
Даже так: всех машин Kia, произведенных после 2013 года. Sam Curry делится результатами исследования безопасности, которое привело к возможности удаленно определять местонахождение, отключать стартер, разблокировать и заводить около 15,5 миллионов машин.
👉 А началось все с вот такого HTTP-запроса и ответа 401:
POST /apps/services/kdealer/apigwServlet.html HTTP/1.1
Host: kiaconnect.kdealer.com
Httpmethod: POST
Apiurl: /dec/dlr/dvl
{
"vin": "1HGBH41JXMN109186"
}
...
HTTP/1.1 401 Unauthorized
Content-type: application/json
{
"status": {
"statusCode": 1,
"errorType": 1,
"errorCode": 1003,
"errorMessage": "Session Key is either invalid or expired"
}
}
👉 Читать
#pentest #writeup
💿 Kali Purple (SOC-in-a-box)
💿 Kali Linux (Pentesting)
💿 Predator-OS (Pentesting)
💿 BlackArch Linux (Pentesting)
💿 BackBox (Pentesting)
💿 Kookarai (Pentesting)
💿 ParrotOS (Red and Blue Team operation)
💿 Commando VM (Windows-based Pentesting/Red Teaming)
💿 Whonix (Privacy and Anonymity)
💿 Tails (Privacy and Anonymity)
💿 Qubes OS (Hypervisor)
💿 Mandiant Threat Pursuit (Windows-based Threat Intelligence and Hunting)
💿 Tsurugi Linux (Digital Forensics and OSINT)
💿 SIFT Workstation (Digital Forensics)
💿 CSI Linux (Digital Forensics)
💿 CAINE (Digital Forensics)
💿 RedHunt-OS Linux (Adversary Emulation and Threat Hunting)
💿 FLARE-VM (Reverse Engineering)
💿 REMnux (Reverse Engineering/Malware Analysis)
💿 Trace Labs OSINT VM (OSINT to Find Missing Persons)
💿 Security Onion (Threat Hunting, Network Security Monitoring, and Log Management)
#infosec #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🥷🏿 Советы для начинающих багхантеров
Хотите быстрее находить уязвимости в багбаунти-программах? Эти простые, но действенные советы для вас:
1️⃣ Будьте последовательны: регулярно уделяйте время для поиска уязвимостей.
2️⃣ Не полагайтесь только на автоматические инструменты: автоматизированные сканеры могут пропустить важные уязвимости или выдавать ложные срабатывания.
3️⃣ Сосредоточьтесь на одном объекте: чем больше времени вы тратите на изучение одного объекта, тем больше уязвимостей вы найдете.
4️⃣ Ставьте реалистичные цели: не ставьте задачи, которые сложно контролировать.
5️⃣ Не бойтесь отправлять баги: если вы нашли уязвимость, отправляйте отчет как можно скорее, чтобы избежать дубликатов.
6️⃣ Выбирайте программы по своим навыкам: охотьтесь на программы, которые соответствуют вашим навыкам (например, веб-приложения, API или мобильные приложения).
👉 Читать подробнее
#bugbounty #tips
Хотите быстрее находить уязвимости в багбаунти-программах? Эти простые, но действенные советы для вас:
#bugbounty #tips
Please open Telegram to view this post
VIEW IN TELEGRAM
В гайде рассмотрено использование headless режима nuclei для более простого и точного обнаружения XSS-пэйлоада, используя
waitdialog action. Этот подход значительно снижает сложность сопоставления конкретных ответов сервера, сохраняя при этом высокую точность.#guide #bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
В последнее время часто можно услышать, что атаки на ADCS стали чем-то тривиальным: после выхода информативной статьи Certified Pre-Owned от Specter Ops почти каждый пентестер знает, что такое ESC1 и ESC8, и, увидев в Cert Publishers компьютеры, сразу бежит туда.
Однако Web Enrollment помимо атак может чейнить уязвимости и служить отличным вариантом для Initial Access. Пентестер из Инфосистемы Джет рассказывает, как его применять на примере реального проекта.
👉 Читать
#pentest #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🧐 Хотелось ли вам когда-нибудь быстро протестировать баги HTTP request smuggling?
Smuggler — это автоматизированный инструмент, который поможет обнаружить как HTTP request smuggling, так и HTTP desync. Осторожно, инструмент может фолсить из-за особенностей самой уязвимости.
👉 GitHub
#tools #pentest #bugbounty
Smuggler — это автоматизированный инструмент, который поможет обнаружить как HTTP request smuggling, так и HTTP desync. Осторожно, инструмент может фолсить из-за особенностей самой уязвимости.
👉 GitHub
#tools #pentest #bugbounty