🔥 Bug Bounty Cheat Sheet — не самая свежая, но довольно интересная коллекция пэйлоадов, советов и рекомендаций для багхантеров. Автор — EdOverflow + сообщество.
👉 GitHub
#bugbounty #pentest
👉 GitHub
#bugbounty #pentest
👍7
🪲 Начинаем в багбаунти: доступно об уязвимостях типа Broken Access Control
Этот гайд — часть серии Positive Technologies для начинающих багхантеров. Вы узнаете, что это очень распространенный баг, который может проявляться самыми разными способами.
Автор показывает, как отловить четыре разных вида этой уязвимости в лабах Web Security Academy.
👉 Читать
#bugbounty #guide
Этот гайд — часть серии Positive Technologies для начинающих багхантеров. Вы узнаете, что это очень распространенный баг, который может проявляться самыми разными способами.
Автор показывает, как отловить четыре разных вида этой уязвимости в лабах Web Security Academy.
👉 Читать
#bugbounty #guide
👍5
Привет, друзья! 👋
Мы готовим статью о секретах мастерства в программировании и хотим узнать ваше мнение! 💻
Мы готовим статью о секретах мастерства в программировании и хотим узнать ваше мнение! 💻
Какие качества, по вашему мнению, отличают действительно выдающегося программиста? 🏆
Anonymous Poll
39%
Глубокие технические знания
62%
Умение решать сложные проблемы
66%
Способность быстро учиться новому
14%
Отличные коммуникативные навыки
2%
Другое (напишите в комментариях)
This media is not supported in your browser
VIEW IN TELEGRAM
Не знаете, с чего начать разведку? Ловите простой однострочник, который:
🐞 Найдет все поддомены
🐛 Запросит все DNS-записи
🪲 Получит коды состояния, иконки, заголовки и скриншоты с каждого хоста
🪳 Получит URL-адреса с каждого хоста с помощью пассивных источников
🕷 Сохранит все это в понятно организованных директориях и файлах
#bugbounty #tips
🐞 Найдет все поддомены
🐛 Запросит все DNS-записи
🪲 Получит коды состояния, иконки, заголовки и скриншоты с каждого хоста
🪳 Получит URL-адреса с каждого хоста с помощью пассивных источников
🕷 Сохранит все это в понятно организованных директориях и файлах
for d in $(cat domains.txt); do
mkdir ./$d;
subfinder -d $d | anew ./$d/subs.txt;
cat ./$d/subs.txt | dnsx --recon | anew ./$d/dns.txt;
cat ./$d/subs.txt | httpx -sc -favicon -title -ss | anew ./$d/web.txt;
cat ./$d/subs.txt | gau | anew ./$d/urls.txt;
done;
#bugbounty #tips
👍9
😎 CTF — веселый и увлекательный способ улучшить навыки этичного хакера!
Но, к сожалению, они довольно сложны для новичков... В последней статье от Intigriti автор поделится 10 практическими советами, которые помогут вам самостоятельно решить вашу первую задачу: от изучения основ и документирования своих действий, до использования интеллектуальных инструментов и коллаборации с другими участниками.
👉 Читать
#ctf
Но, к сожалению, они довольно сложны для новичков... В последней статье от Intigriti автор поделится 10 практическими советами, которые помогут вам самостоятельно решить вашу первую задачу: от изучения основ и документирования своих действий, до использования интеллектуальных инструментов и коллаборации с другими участниками.
👉 Читать
#ctf
👍2
🤯 Эксплуатация Fortune 500 через скрытые связи в цепочке поставок
Цепочки поставок программного обеспечения становятся все более сложными, с бесчисленными зависимостями, формирующими костяк современных приложений. Несмотря на всю сложность, многие атаки, нацеленные на эти зависимости, на удивление просты. Хотя на обеспечение безопасности и функциональности отдельных пакетов тратится значительное время, связи между ними часто остаются незамеченными.
Под катом — история о том, как команде Lupin & Holmes удалось раскрыть атаку на цепочку поставок, нацеленную на Consul(инструмент с открытым исходным кодом компании HashiCorp для обнаружения сервисов и автоматизации сетей) , а также какое влияние она оказала на крупную компанию из списка Fortune 500.
🤑 Вознаграждение за обнаружение уязвимости — $17 000.
👉 Читать
#redteam
Цепочки поставок программного обеспечения становятся все более сложными, с бесчисленными зависимостями, формирующими костяк современных приложений. Несмотря на всю сложность, многие атаки, нацеленные на эти зависимости, на удивление просты. Хотя на обеспечение безопасности и функциональности отдельных пакетов тратится значительное время, связи между ними часто остаются незамеченными.
Под катом — история о том, как команде Lupin & Holmes удалось раскрыть атаку на цепочку поставок, нацеленную на Consul
🤑 Вознаграждение за обнаружение уязвимости — $17 000.
👉 Читать
#redteam
👍1
Forwarded from Библиотека девопса | DevOps, SRE, Sysadmin
🔐 🔑 OAuth 2: как работает современная авторизация
Помнишь кнопку «Войти через Google»? Та самая кнопка, которая избавляет от необходимости запоминать очередной пароль. Сегодня разберем, как работает эта магия изнутри, почему гиганты вроде Spotify и Medium используют такой способ входа, и как внедрить его в свое приложение. Спойлер: это проще, чем кажется, и гораздо безопаснее традиционной формы регистрации.
Читать статью
Помнишь кнопку «Войти через Google»? Та самая кнопка, которая избавляет от необходимости запоминать очередной пароль. Сегодня разберем, как работает эта магия изнутри, почему гиганты вроде Spotify и Medium используют такой способ входа, и как внедрить его в свое приложение. Спойлер: это проще, чем кажется, и гораздо безопаснее традиционной формы регистрации.
Читать статью
❤2
🤯 Шпаргалка для обхода проверки URL-адресов: новые сумасшедшие пэйлоады
Вся мощь подобных шпаргалок заключается в том, что они поддерживаются сообществом багхантеров по всему миру, и сегодняшнее обновление не является исключением. Внутри вас ждут:
☑️ Новые методы обхода проверки IP-адресов
☑️ Кейсы обхода проверки CORS и многое другое
#cheatsheet
Вся мощь подобных шпаргалок заключается в том, что они поддерживаются сообществом багхантеров по всему миру, и сегодняшнее обновление не является исключением. Внутри вас ждут:
☑️ Новые методы обхода проверки IP-адресов
☑️ Кейсы обхода проверки CORS и многое другое
#cheatsheet
👍6
Forwarded from Азбука айтишника
💣 Токсичный разработчик: гений или бомба замедленного действия?
Токсичный разработчик — это специалист, с которым крайне некомфортно работать. Разбираемся в статье — как к нему относиться:
🔗 Ссылка
Токсичный разработчик — это специалист, с которым крайне некомфортно работать. Разбираемся в статье — как к нему относиться:
🔗 Ссылка
👍1👾1
Топ-10 ресурсов для практики: на заметку начинающим багхантерам
🪳 PortSwigger Web Security Academy
🐛 HackTheBox
🕷 TryHackMe
🪲 PentesterLab
🐞 XSS game
🪳 OWASP Juice Shop
🐛 bWAPP
🕷 CTF365
🪲 Web Application Exploits and Defenses
🐞 flAWS challenge
#ctf #practice
🪳 PortSwigger Web Security Academy
🐛 HackTheBox
🕷 TryHackMe
🪲 PentesterLab
🐞 XSS game
🪳 OWASP Juice Shop
🐛 bWAPP
🕷 CTF365
🪲 Web Application Exploits and Defenses
🐞 flAWS challenge
#ctf #practice
👍7
Если предположить, что политика CORS не настроена... Какой сниппет уязвим для CSRF? Присылайте ответы в комментарии👇
#этобаза
#этобаза
Самые полезные каналы для программистов в одной подборке!
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
Азбука айтишника — здесь мы познаем азы из мира программирования
🤖Про нейросети
Библиотека робототехники и беспилотников | Роботы, ИИ, интернет вещей
Библиотека нейрозвука | Транскрибация, синтез речи, ИИ-музыка
Библиотека нейротекста | ChatGPT, Gemini, Bing
Библиотека нейровидео | Sora AI, Runway ML, дипфейки
Библиотека нейрокартинок | Midjourney, DALL-E, Stable Diffusion
#️⃣C#
Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Книги для джавистов | Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
Библиотека разработчика игр | Gamedev, Unity, Unreal Engine
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
Азбука айтишника — здесь мы познаем азы из мира программирования
🤖Про нейросети
Библиотека робототехники и беспилотников | Роботы, ИИ, интернет вещей
Библиотека нейрозвука | Транскрибация, синтез речи, ИИ-музыка
Библиотека нейротекста | ChatGPT, Gemini, Bing
Библиотека нейровидео | Sora AI, Runway ML, дипфейки
Библиотека нейрокартинок | Midjourney, DALL-E, Stable Diffusion
#️⃣C#
Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Книги для джавистов | Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
Библиотека разработчика игр | Gamedev, Unity, Unreal Engine
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
❤1🥰1
Кстати, на Standoff появилась возможность раскрывать отчеты багхантеров. Залетайте👇
🥷 Изучить раскрытые отчеты
#bugbounty
🥷 Изучить раскрытые отчеты
#bugbounty
👍6😁6
🥷 Command injection в параметре
Неаутентифицированное удаленное выполнение кода в четырех различных сетевых устройствах хранения данных, более 60 000 из которых доступны из Интернета.
Настолько простой баг, который можно найти простым фаззингом:
#pentest #bugbounty
name для D-Link NAS Неаутентифицированное удаленное выполнение кода в четырех различных сетевых устройствах хранения данных, более 60 000 из которых доступны из Интернета.
Настолько простой баг, который можно найти простым фаззингом:
curl "http://[Target-IP]/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"
#pentest #bugbounty
🌚4❤3🥱1