#bugbounty #bestpractices
👀 Что делать вечером пятницы? Можно искать баги, а можно немного расслабиться и посмотреть записи докладов со стенда Positive Technologies на IT-пикнике.
🌐 Уязвимости в тренде? Как понять, что вы не дуршлаг. О том, как создавать продукты, делающие компании неуязвимыми к кибератакам
🌐 Как поймать хакера с помощью искусственного интеллекта
🌐 Как устроен мир вокруг нас: реверс-инжиниринг embedded-устройств
🌐 Преступления в open source: расследуем трояны в Python Package Index
🌐 Как (не) потерять годовой бюджет компании из-за одной ошибки в коде
🌐 Пароль: N4GOR5HK3S!D1TKOROL. Что хакерам известно о паролях
🌐 Как заработать на ипотеку, или Вкатываемся в bug bounty
💬 Конечно, последний доклад — самый горячий. А как вы думаете?
🔥 — на багбаунти можно заработать не только на ипотеку, но и намного больше
🤔 — наверное, можно, не пробовал
💬 Конечно, последний доклад — самый горячий. А как вы думаете?
🔥 — на багбаунти можно заработать не только на ипотеку, но и намного больше
🤔 — наверное, можно, не пробовал
Please open Telegram to view this post
VIEW IN TELEGRAM
😎 Bug Bounty Stories — пополняемая серия видео, в которых небезызвестный NahamSec рассказывает про каждый шаг этичного взлома различных веб-приложений.
🎰 Взлом онлайн-казино
#️⃣ Взлом тюрьмы
🕊️ Взлом Red Bull
#bestpractices #pentest #bugbounty
🎰 Взлом онлайн-казино
#️⃣ Взлом тюрьмы
🕊️ Взлом Red Bull
#bestpractices #pentest #bugbounty
🥷Если эти вопросы вызывают у вас легкое недоумение, обратитесь к мнению экспертов в этой сфере. Jason Haddix раз в несколько лет обновляет свою методологию багхантинга, все больше делая упор на анализе веб-приложения👇
#bestpractices #bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
📌 Пополняем коллекцию ресурсов, которые полезно иметь под рукой 💪
🔥 Подборка репозиториев инструментов, исследований и многого другого на тему:
☑️ Кибербезопасности
☑️ Бинарной эксплуатации
☑️ Ядра Linux
☑️ Беспроводных сетей
#bestpractices #pentest #research #tools
🔥 Подборка репозиториев инструментов, исследований и многого другого на тему:
☑️ Кибербезопасности
☑️ Бинарной эксплуатации
☑️ Ядра Linux
☑️ Беспроводных сетей
#bestpractices #pentest #research #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - 0xor0ne/awesome-list: Cybersecurity oriented awesome list
Cybersecurity oriented awesome list. Contribute to 0xor0ne/awesome-list development by creating an account on GitHub.
🤔 «Как собрать контейнер и не вооружить хакера» — доклад Алексея Федулаева и Антона Жаболенко из Wildberries на HighLoad++ 2023, посвященный
😎 Это атаки с использованием легитимных софта, присутствующего в целевой системе, в которую попал атакующий. В данном случае речь про контейнеры.
💡 Вы узнаете множество разных трюков/приемов, о которых должен знать любой представитель красной команды. Доклад будет полезен и представителям синей команды, которая должна знать способы предотвращения/своевременного обнаружения.
📺 Смотреть
🗒️ Читать текстовую версию на Хабре
#bestpractices #security #redteam #blueteam
Living off the Land (LotL) атакам. 💡 Вы узнаете множество разных трюков/приемов, о которых должен знать любой представитель красной команды. Доклад будет полезен и представителям синей команды, которая должна знать способы предотвращения/своевременного обнаружения.
📺 Смотреть
🗒️ Читать текстовую версию на Хабре
#bestpractices #security #redteam #blueteam
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔍 Охота на CVE стала проще
Всего за три выходных автор статьи обнаружил 14 CVE — и вы тоже можете это сделать! Охота за CVE более доступна, чем многие думают, а описанная им методология требует лишь небольших знаний в области программирования.
👉 Читать
#bestpractices #pentest #bugbounty
Всего за три выходных автор статьи обнаружил 14 CVE — и вы тоже можете это сделать! Охота за CVE более доступна, чем многие думают, а описанная им методология требует лишь небольших знаний в области программирования.
👉 Читать
#bestpractices #pentest #bugbounty
ИБ-исследователь Ananda Dhakal рассказывает о своей методике поиска неаутентифицированной SQL-инъекции в WordPress-плагине TI WooCommerce Wishlist.
👉 Читать
#pentest #bugbounty #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
🪳 Методология баг-баунти: гайд для охотников за ошибками
Вы — начинающий этичный хакер или уже нашли несколько багов, но хотите сделать свой подход к багбаунти более последовательным и систематичным? Тогда эта методология для вас. Вы узнаете про несколько важных компонентов:
• Инструменты: чем пользуется хакер, чтобы атаковать цель?
• Образ мышления: насколько настойчив хакер? Как хакер преодолевает ментальные барьеры?
• Подход к работе. Некоторые хакеры используют чек-листы, другие руководствуются собственной интуицией. Как хакеры применяют свои знания на практике?
• Опыт. Конкретный порядок реализации методологии зависит от предыдущего опыта хакера. Опытные хакеры обычно очень в этом эффективны. Эффективность — это результат накопленного опыта.
#bestpractices #bugbounty
Вы — начинающий этичный хакер или уже нашли несколько багов, но хотите сделать свой подход к багбаунти более последовательным и систематичным? Тогда эта методология для вас. Вы узнаете про несколько важных компонентов:
• Инструменты: чем пользуется хакер, чтобы атаковать цель?
• Образ мышления: насколько настойчив хакер? Как хакер преодолевает ментальные барьеры?
• Подход к работе. Некоторые хакеры используют чек-листы, другие руководствуются собственной интуицией. Как хакеры применяют свои знания на практике?
• Опыт. Конкретный порядок реализации методологии зависит от предыдущего опыта хакера. Опытные хакеры обычно очень в этом эффективны. Эффективность — это результат накопленного опыта.
#bestpractices #bugbounty
Все рекомендуют создать свою методологию, когда вы начинаете...🧐
Но что это такое на самом деле? И как ее создать будучи новичком, у которого почти нет опыта?
В последнем гайде от Intigriti подробно рассматривается, что требуется для создания своей багбаунти-методологии. Врывайтесь👇
🥷 Читать
#bugbounty #bestpractices
Но что это такое на самом деле? И как ее создать будучи новичком, у которого почти нет опыта?
В последнем гайде от Intigriti подробно рассматривается, что требуется для создания своей багбаунти-методологии. Врывайтесь
🥷 Читать
#bugbounty #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
Большая часть информации хорошо известна в течение многих лет и активно используется в различных кейсах, но автор репозитория стремится его актуализировать.
👉 GitHub & Сайт
#redteam #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🥷🏿 Хотите погрузиться в практику эксплуатации MS Exchange в ходе внешних пентестов? Это когда в дело идут все методы — от брутфорса до эксплуатации мисконфигов.
🇻🇳 Арсений Шароглазов на Positive Hack Talks, проходимый во Вьетнаме, глубоко погрузился в данную тему. Юзкейсы, приводимые в докладе, гармонично дополняют его статью практикой.
🔗 Ссылка на презентацию (PDF-файл в комментариях)
#bestpractices #pentest
🇻🇳 Арсений Шароглазов на Positive Hack Talks, проходимый во Вьетнаме, глубоко погрузился в данную тему. Юзкейсы, приводимые в докладе, гармонично дополняют его статью практикой.
#bestpractices #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Исследования в области безопасности ИИ набирают обороты, и Johann Rehberger продолжает публиковать качественные статьи с подробной методологией.
Напомним, что Grok представляет собой чатбот xAI. Это современная модель, чатбот и недавно также API. Он имеет веб-интерфейс и интегрирован в приложение X (бывший Twitter), а недавно он также стал доступен через API.
Johann рассматривает уязвимости Grok перед лицом современных угроз безопасности приложений LLM, включая prompt injection, data exfiltration, conditional attacks, disinformation и ASCII Smuggling.
👉 Читать и учиться ломать чат-ботов
#writeup #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
При анализе JavaScript-файлов важно понимать, на что именно обращать внимание. Вот только некоторые из интересных находок, которые могут быть скрыты внутри:
• API-эндпоинты, интересные ссылки и роуты приложений;
• захардкоженные учетные данные;
• входные параметры для запросов, которые могут привести к SSRF;
• уязвимости на основе DOM и многое другое.
#guide #bestpractices #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Погрузитесь в поиск уязвимостей в веб-приложения на языке Python и узнайте, как отлаживать Python в VS Code, чтобы отслеживать пэйлоад на протяжении всего процесса.
👉 Что внутри гайда:
#pentest #tools #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM