Большая часть информации хорошо известна в течение многих лет и активно используется в различных кейсах, но автор репозитория стремится его актуализировать.
👉 GitHub & Сайт
#redteam #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
This media is not supported in your browser
VIEW IN TELEGRAM
🥷🏿 От Android-хука до RCE: вознаграждение в размере $5000
Багхантер делится историей реверса известного Android-приложения MyIrancell, который привел к RCE. И вот несколько причин, по которым вам стоит прочитать его заметки:
✔️ Автор рассматривает необычный случай RCE, который вы могли не видеть раньше (он заставил headless браузер выполнить произвольный JavaScript-код на стороне сервера)
✔️ Чтобы перехватить сетевой трафик, автор должен был открыть два уровня шифрования: обычный уровень TLS, который используется в широко распространенных приложениях, и дополнительная реализация AES со случайным ключом для каждого пользователя.
✔️ Уязвимость RCE была слепой, а у удалённого сервера не было подключения к интернету, поэтому пришлось создать DNS-туннель для передачи данных 🤯.
🔗 Читать
#bugbounty #writeup #pentest
Багхантер делится историей реверса известного Android-приложения MyIrancell, который привел к RCE. И вот несколько причин, по которым вам стоит прочитать его заметки:
#bugbounty #writeup #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🥷🏿 Хотите погрузиться в практику эксплуатации MS Exchange в ходе внешних пентестов? Это когда в дело идут все методы — от брутфорса до эксплуатации мисконфигов.
🇻🇳 Арсений Шароглазов на Positive Hack Talks, проходимый во Вьетнаме, глубоко погрузился в данную тему. Юзкейсы, приводимые в докладе, гармонично дополняют его статью практикой.
🔗 Ссылка на презентацию (PDF-файл в комментариях)
#bestpractices #pentest
🇻🇳 Арсений Шароглазов на Positive Hack Talks, проходимый во Вьетнаме, глубоко погрузился в данную тему. Юзкейсы, приводимые в докладе, гармонично дополняют его статью практикой.
#bestpractices #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👑🧟 Король спама: насколько сильно ты бесишь коллег в рабочих чатах
Признайся, ты тоже иногда отправляешь голосовые сообщения из маршрутки? Или может быть, ты тот самый человек, который пишет «Привет» и исчезает на час? Всего 10 вопросов, которые помогут понять, являешься ли ты мастером цифрового этикета или главным спамером офиса. Готов узнать правду?
👉 Пройти тест
Признайся, ты тоже иногда отправляешь голосовые сообщения из маршрутки? Или может быть, ты тот самый человек, который пишет «Привет» и исчезает на час? Всего 10 вопросов, которые помогут понять, являешься ли ты мастером цифрового этикета или главным спамером офиса. Готов узнать правду?
👉 Пройти тест
Исследования в области безопасности ИИ набирают обороты, и Johann Rehberger продолжает публиковать качественные статьи с подробной методологией.
Напомним, что Grok представляет собой чатбот xAI. Это современная модель, чатбот и недавно также API. Он имеет веб-интерфейс и интегрирован в приложение X (бывший Twitter), а недавно он также стал доступен через API.
Johann рассматривает уязвимости Grok перед лицом современных угроз безопасности приложений LLM, включая prompt injection, data exfiltration, conditional attacks, disinformation и ASCII Smuggling.
👉 Читать и учиться ломать чат-ботов
#writeup #bestpractices
Please open Telegram to view this post
VIEW IN TELEGRAM
❗Вакансии «Библиотеки программиста» — ждем вас в команде!
Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉контент-менеджеров для ведения телеграм-каналов
Подробности тут
Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴
Ждем ваших откликов 👾
Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉контент-менеджеров для ведения телеграм-каналов
Подробности тут
Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴
Ждем ваших откликов 👾
job.proglib.io
Вакансии в медиа «Библиотека программиста»
Количество проектов в редакции постоянно растет, так что нам всегда нужны специалисты
⚒️ Apache-vulnerability-testing — Python-скрипт для тестирования уязвимостей HTTP-сервера Apache
Внутри PoC'и для CVE-2024-38472, CVE-2024-39573, CVE-2024-38477, CVE-2024-38476, CVE-2024-38475, CVE-2024-38474, CVE-2024-38473 и CVE-2023-38709.
👩💻 GitHub
#tools #pentest
Внутри PoC'и для CVE-2024-38472, CVE-2024-39573, CVE-2024-38477, CVE-2024-38476, CVE-2024-38475, CVE-2024-38474, CVE-2024-38473 и CVE-2023-38709.
python3 poc_vulnerability_testing.py --target http://<target-ip>
#tools #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔🔥🪦 Беспощадный Frontend-тест: уволься сам, если не наберёшь 7 из 10!
Ау! Есть среди нас фулстек-разработчики? Или может те, кто когда-то начинал с HTML и CSS?
👉 Проверяем свои знания о фронтенде тут
Ау! Есть среди нас фулстек-разработчики? Или может те, кто когда-то начинал с HTML и CSS?
👉 Проверяем свои знания о фронтенде тут
📦💡 Небезопасная загрузка файлов: полное руководство по поиску уязвимостей
Почему функционал загрузки файлов в веб-приложении считается одним из самых опасных? Дело в том, что речь идет про проблему на стороне сервера, поэтому одна ошибка разработчика стоит очень «дорого».
Так что же из себя представляют уязвимости при загрузке файлов, как их выявить и проэксплуатировать? Очередной гайд в блоге Intigriti рассказывает именно об этом 🥷
👉 Читать
#bugbounty #pentest
Почему функционал загрузки файлов в веб-приложении считается одним из самых опасных? Дело в том, что речь идет про проблему на стороне сервера, поэтому одна ошибка разработчика стоит очень «дорого».
Так что же из себя представляют уязвимости при загрузке файлов, как их выявить и проэксплуатировать? Очередной гайд в блоге Intigriti рассказывает именно об этом 🥷
#bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
В комплект Kali входит коллекция эксплоитов и около 400 утилит, включая Aircrack, Maltego, SAINT, Kismet, Bluebugger, Btcrack, Btscanner, Nmap и p0f, а также средств для подбора паролей (Multihash CUDA Brute Forcer) и WPA ключей (Pyrit), использующие GPU NVIDIA и AMD для ускорения.
В новом выпуске:
• По умолчанию задействован Python 3.12.
• Добавлена возможность настройки системных образов для плат Raspberry Pi, используя утилиту Raspberry Pi Imager.
• Обновлено окружение для мобильных устройств на базе платформы Android — NetHunter, с подборкой инструментов для пентеста.
• Добавлен новый апплет для мониторинга состояния системы и многое другое.
👉 Подробнее
#новости #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Proglib.academy | IT-курсы
🎓📚💼 Как пойти учиться за счет работодателя
Обучение сотрудников выгоднее, чем поиск новых специалистов, чья компетентность часто под вопросом. Согласно статистике, 62% IT-компаний готовы инвестировать в развитие своих сотрудников.
Однако обучение за счет работодателя связано с нюансами: выбор курсов, договоры и компенсации при нарушении обязательств. В статье разберем ключевые проблемы и способы их минимизации:
➡️ Статья
Забирайте курс по Алгоритмам и пробуйте повысить свой уровень:
🔵 Алгоритмы и структуры данных
Обучение сотрудников выгоднее, чем поиск новых специалистов, чья компетентность часто под вопросом. Согласно статистике, 62% IT-компаний готовы инвестировать в развитие своих сотрудников.
Однако обучение за счет работодателя связано с нюансами: выбор курсов, договоры и компенсации при нарушении обязательств. В статье разберем ключевые проблемы и способы их минимизации:
Забирайте курс по Алгоритмам и пробуйте повысить свой уровень:
Please open Telegram to view this post
VIEW IN TELEGRAM