Опубликован OWASP Top 10 API Security Risks – 2023
📌 Вот как распределился топ-10 рисков безопасности API в 2023 году:
1️⃣Broken Object Level Authorization
2️⃣Broken Authentication
3️⃣Broken Object Property Level Authorization
4️⃣Unrestricted Resource Consumption
5️⃣Broken Function Level Authorization
6️⃣Unrestricted Access to Sensitive Business Flows
7️⃣Server Side Request Forgery
8️⃣Security Misconfiguration
9️⃣Improper Inventory Management
1️⃣0️⃣Unsafe Consumption of APIs
#security #bestpractices #news
📌 Вот как распределился топ-10 рисков безопасности API в 2023 году:
1️⃣Broken Object Level Authorization
2️⃣Broken Authentication
3️⃣Broken Object Property Level Authorization
4️⃣Unrestricted Resource Consumption
5️⃣Broken Function Level Authorization
6️⃣Unrestricted Access to Sensitive Business Flows
7️⃣Server Side Request Forgery
8️⃣Security Misconfiguration
9️⃣Improper Inventory Management
1️⃣0️⃣Unsafe Consumption of APIs
#security #bestpractices #news
owasp.org
OWASP Top 10 API Security Risks – 2023 - OWASP API Security Top 10
The Ten Most Critical API Security Risks
#bugbounty #bestpractices
👀 Что делать вечером пятницы? Можно искать баги, а можно немного расслабиться и посмотреть записи докладов со стенда Positive Technologies на IT-пикнике.
🌐 Уязвимости в тренде? Как понять, что вы не дуршлаг. О том, как создавать продукты, делающие компании неуязвимыми к кибератакам
🌐 Как поймать хакера с помощью искусственного интеллекта
🌐 Как устроен мир вокруг нас: реверс-инжиниринг embedded-устройств
🌐 Преступления в open source: расследуем трояны в Python Package Index
🌐 Как (не) потерять годовой бюджет компании из-за одной ошибки в коде
🌐 Пароль: N4GOR5HK3S!D1TKOROL. Что хакерам известно о паролях
🌐 Как заработать на ипотеку, или Вкатываемся в bug bounty
💬 Конечно, последний доклад — самый горячий. А как вы думаете?
🔥 — на багбаунти можно заработать не только на ипотеку, но и намного больше
🤔 — наверное, можно, не пробовал
💬 Конечно, последний доклад — самый горячий. А как вы думаете?
🔥 — на багбаунти можно заработать не только на ипотеку, но и намного больше
🤔 — наверное, можно, не пробовал
Please open Telegram to view this post
VIEW IN TELEGRAM
😎 Bug Bounty Stories — пополняемая серия видео, в которых небезызвестный NahamSec рассказывает про каждый шаг этичного взлома различных веб-приложений.
🎰 Взлом онлайн-казино
#️⃣ Взлом тюрьмы
🕊️ Взлом Red Bull
#bestpractices #pentest #bugbounty
🎰 Взлом онлайн-казино
#️⃣ Взлом тюрьмы
🕊️ Взлом Red Bull
#bestpractices #pentest #bugbounty
🥷Если эти вопросы вызывают у вас легкое недоумение, обратитесь к мнению экспертов в этой сфере. Jason Haddix раз в несколько лет обновляет свою методологию багхантинга, все больше делая упор на анализе веб-приложения👇
#bestpractices #bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
📌 Пополняем коллекцию ресурсов, которые полезно иметь под рукой 💪
🔥 Подборка репозиториев инструментов, исследований и многого другого на тему:
☑️ Кибербезопасности
☑️ Бинарной эксплуатации
☑️ Ядра Linux
☑️ Беспроводных сетей
#bestpractices #pentest #research #tools
🔥 Подборка репозиториев инструментов, исследований и многого другого на тему:
☑️ Кибербезопасности
☑️ Бинарной эксплуатации
☑️ Ядра Linux
☑️ Беспроводных сетей
#bestpractices #pentest #research #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - 0xor0ne/awesome-list: Cybersecurity oriented awesome list
Cybersecurity oriented awesome list. Contribute to 0xor0ne/awesome-list development by creating an account on GitHub.
🤔 «Как собрать контейнер и не вооружить хакера» — доклад Алексея Федулаева и Антона Жаболенко из Wildberries на HighLoad++ 2023, посвященный
😎 Это атаки с использованием легитимных софта, присутствующего в целевой системе, в которую попал атакующий. В данном случае речь про контейнеры.
💡 Вы узнаете множество разных трюков/приемов, о которых должен знать любой представитель красной команды. Доклад будет полезен и представителям синей команды, которая должна знать способы предотвращения/своевременного обнаружения.
📺 Смотреть
🗒️ Читать текстовую версию на Хабре
#bestpractices #security #redteam #blueteam
Living off the Land (LotL) атакам. 💡 Вы узнаете множество разных трюков/приемов, о которых должен знать любой представитель красной команды. Доклад будет полезен и представителям синей команды, которая должна знать способы предотвращения/своевременного обнаружения.
📺 Смотреть
🗒️ Читать текстовую версию на Хабре
#bestpractices #security #redteam #blueteam
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔍 Охота на CVE стала проще
Всего за три выходных автор статьи обнаружил 14 CVE — и вы тоже можете это сделать! Охота за CVE более доступна, чем многие думают, а описанная им методология требует лишь небольших знаний в области программирования.
👉 Читать
#bestpractices #pentest #bugbounty
Всего за три выходных автор статьи обнаружил 14 CVE — и вы тоже можете это сделать! Охота за CVE более доступна, чем многие думают, а описанная им методология требует лишь небольших знаний в области программирования.
👉 Читать
#bestpractices #pentest #bugbounty
ИБ-исследователь Ananda Dhakal рассказывает о своей методике поиска неаутентифицированной SQL-инъекции в WordPress-плагине TI WooCommerce Wishlist.
👉 Читать
#pentest #bugbounty #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
🪳 Методология баг-баунти: гайд для охотников за ошибками
Вы — начинающий этичный хакер или уже нашли несколько багов, но хотите сделать свой подход к багбаунти более последовательным и систематичным? Тогда эта методология для вас. Вы узнаете про несколько важных компонентов:
• Инструменты: чем пользуется хакер, чтобы атаковать цель?
• Образ мышления: насколько настойчив хакер? Как хакер преодолевает ментальные барьеры?
• Подход к работе. Некоторые хакеры используют чек-листы, другие руководствуются собственной интуицией. Как хакеры применяют свои знания на практике?
• Опыт. Конкретный порядок реализации методологии зависит от предыдущего опыта хакера. Опытные хакеры обычно очень в этом эффективны. Эффективность — это результат накопленного опыта.
#bestpractices #bugbounty
Вы — начинающий этичный хакер или уже нашли несколько багов, но хотите сделать свой подход к багбаунти более последовательным и систематичным? Тогда эта методология для вас. Вы узнаете про несколько важных компонентов:
• Инструменты: чем пользуется хакер, чтобы атаковать цель?
• Образ мышления: насколько настойчив хакер? Как хакер преодолевает ментальные барьеры?
• Подход к работе. Некоторые хакеры используют чек-листы, другие руководствуются собственной интуицией. Как хакеры применяют свои знания на практике?
• Опыт. Конкретный порядок реализации методологии зависит от предыдущего опыта хакера. Опытные хакеры обычно очень в этом эффективны. Эффективность — это результат накопленного опыта.
#bestpractices #bugbounty
Все рекомендуют создать свою методологию, когда вы начинаете...🧐
Но что это такое на самом деле? И как ее создать будучи новичком, у которого почти нет опыта?
В последнем гайде от Intigriti подробно рассматривается, что требуется для создания своей багбаунти-методологии. Врывайтесь👇
🥷 Читать
#bugbounty #bestpractices
Но что это такое на самом деле? И как ее создать будучи новичком, у которого почти нет опыта?
В последнем гайде от Intigriti подробно рассматривается, что требуется для создания своей багбаунти-методологии. Врывайтесь
🥷 Читать
#bugbounty #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
Большая часть информации хорошо известна в течение многих лет и активно используется в различных кейсах, но автор репозитория стремится его актуализировать.
👉 GitHub & Сайт
#redteam #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🥷🏿 Хотите погрузиться в практику эксплуатации MS Exchange в ходе внешних пентестов? Это когда в дело идут все методы — от брутфорса до эксплуатации мисконфигов.
🇻🇳 Арсений Шароглазов на Positive Hack Talks, проходимый во Вьетнаме, глубоко погрузился в данную тему. Юзкейсы, приводимые в докладе, гармонично дополняют его статью практикой.
🔗 Ссылка на презентацию (PDF-файл в комментариях)
#bestpractices #pentest
🇻🇳 Арсений Шароглазов на Positive Hack Talks, проходимый во Вьетнаме, глубоко погрузился в данную тему. Юзкейсы, приводимые в докладе, гармонично дополняют его статью практикой.
#bestpractices #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследования в области безопасности ИИ набирают обороты, и Johann Rehberger продолжает публиковать качественные статьи с подробной методологией.
Напомним, что Grok представляет собой чатбот xAI. Это современная модель, чатбот и недавно также API. Он имеет веб-интерфейс и интегрирован в приложение X (бывший Twitter), а недавно он также стал доступен через API.
Johann рассматривает уязвимости Grok перед лицом современных угроз безопасности приложений LLM, включая prompt injection, data exfiltration, conditional attacks, disinformation и ASCII Smuggling.
👉 Читать и учиться ломать чат-ботов
#writeup #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
При анализе JavaScript-файлов важно понимать, на что именно обращать внимание. Вот только некоторые из интересных находок, которые могут быть скрыты внутри:
• API-эндпоинты, интересные ссылки и роуты приложений;
• захардкоженные учетные данные;
• входные параметры для запросов, которые могут привести к SSRF;
• уязвимости на основе DOM и многое другое.
#guide #bestpractices #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Погрузитесь в поиск уязвимостей в веб-приложения на языке Python и узнайте, как отлаживать Python в VS Code, чтобы отслеживать пэйлоад на протяжении всего процесса.
👉 Что внутри гайда:
#pentest #tools #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM