🧐 Хотелось ли вам когда-нибудь быстро протестировать баги HTTP request smuggling?

Smuggler — это автоматизированный инструмент, который поможет обнаружить как HTTP request smuggling, так и HTTP desync. Осторожно, инструмент может фолсить из-за особенностей самой уязвимости.

👉 GitHub

#tools #pentest #bugbounty

💻🔍💼 Кризис IT-рынка: как джуны и кадровый голод меняют правила игры

В условиях нехватки опытных специалистов и наплыва джунов, IT-компании вынуждены искать нестандартные подходы к найму. Рассмотрим основные тренды и стратегии адаптации рынка.

Читать статью

#почитать

🎯 Устранение уязвимостей, связанных с безопасностью памяти, на этапе разработки

Неужели мы пришли к этому? Google утверждает, что языки, безопасные для памяти, предотвращают уязвимости. И теперь у них есть данные, подтверждающие это.

Лучше начать изучать Rust

#назлобудня #security

🔥 Есть здесь любители SSRF и багбаунти?

Егор Зонов из Яндекса показал примеры уязвимостей Server-Side Request Forgery, которые были сданы в багбаунти Яндекса, вместе со статистикой выплат за них в 2023 году.

Рассказал про обнаружение SSRF и распространённые способы защиты, а на 21-й минуте заспойлерил сервис SSRF Sheriff во внутрянке Яндекса, который используется для багхантеров на «Охоте».

📺 Смотреть
🗂 Читать презентацию

#pentest #bugbounty

🍇 Подборка лучших статей «Библиотеки программиста» за сентябрь: сохраняй в заметки, чтобы не пропустить #самыйсок

😮 SQL: от Тетриса до ИИ — неожиданные возможности языка баз данных
⚛️🔄 Улучшенная обработка асинхронных операций в React 19
🔟🏩 ТОП-10 перспективных студий разработки: лучшие компании для вашего карьерного роста
🏗 3 основных шаблона событийно-ориентированной архитектуры
🐘🔧 Расширение pg_variables: мощная альтернатива временным таблицам в PostgreSQL
👍 25 полезных HTML тегов, элементов и атрибутов, которые должен знать каждый фронтендер
🚀 Продвинутый TypeScript: 15 приемов для создания надежного кода
🛠 Сага: эффективный шаблон микросервисной архитектуры
🏃 Самоучитель по Go для начинающих. Часть 16. Тестирование кода и его виды. Table-driven подход. Параллельные тесты
💡🎨 Источники вдохновения для UI/UX-дизайнеров и фронтендеров: 50 полезных ресурсов

🐞👩‍💻 Ледибаг в деле. Как найти уязвимости в Android и попасть в топ белых хакеров Google

В 2010 году, когда направление багбаунти еще не получило широкой известности, Google запустила свою Vulnerability Reward Program. С тех пор в ней поучаствовало более 3000 исследователей. Каждый год Google обновляет списки лучших багхантеров, которые нашли наибольшее количество уязвимостей в их продуктах. И команде Positive Technologies удалось пообщаться с одной из них.

Алёна Склярова — исследователь безопасности, занимает 13-е место в топе багхантеров Google за последний год, а также 13-е место в рейтинге исследователей Android за все время. Алёна нашла немало багов в ОС Android, за что неоднократно получала благодарности от Google. Большинство найденных багов — критические и были отмечены в бюллетенях безопасности Android.

Под катом она поделится своим опытом, рассказывает о трудностях в начале пути и успехах, а также дает ценные советы начинающим багхантерам.

👉 Читать

#bugbounty #security #research #mobile

🥷 Обнаружение и устранение компрометаций Active Directory

Подборка некоторых распространенных векторов эксплуатации AD, кейсов их обнаружения и предотвращения.

Над документом работали специалисты из Australian Signals Directorate (ASD), the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA), the Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ), and the United Kingdom's National Cyber Security Centre (NCSC-UK).

👉 Источник

#redteam #security