#pentest #bugbounty
Видеозапись выступления на PyCon US 2021, в котором показаны несколько функций, обеспечивающих удаленное выполнение кода в Python (кроме стандартных библиотек
📺 Смотреть
Видеозапись выступления на PyCon US 2021, в котором показаны несколько функций, обеспечивающих удаленное выполнение кода в Python (кроме стандартных библиотек
eval и exec). Знать данные техники полезно всем, кто интересуется уязвимостями RCE, SSTI или десериализации в приложениях Python.📺 Смотреть
YouTube
TALK / Graham Bleaney, the_storm/ Unexpected Execution: Wild Ways Code Execution can Occur in Python
Every Python user knows that you can execute code using eval or exec, but what about yaml or str.format? This talk will take you on a walk through all the weird and wild ways that you can achieve code execution on a Python server (and trust me, I didn’t spoil…
#tools #pentest #bugbounty
Короткий и понятный мануал по работе с Nmap — одним из главных инструментов пентестера.
https://proglib.io/w/8803d1eb
Короткий и понятный мануал по работе с Nmap — одним из главных инструментов пентестера.
https://proglib.io/w/8803d1eb
Intigriti
Hacker tools: Nmap - Next level port scanning - Intigriti
It’s a new week and we have a new tool. This week we will review Nmap, the port scanner of choice for every security researcher. In this article, we will discuss some of the less known features of Nmap. Read on to know more. Nmap is an open-source network…
#pentest #redteam
Некоторые подводные камни повышения привилегий в Linux.
https://proglib.io/w/6587aa46
Некоторые подводные камни повышения привилегий в Linux.
https://proglib.io/w/6587aa46
StefLan's Security Blog
Linux Privilege Escalation - Exploiting Capabilities - StefLan's Security Blog
Introduction Capabilities in Linux are special attributes that can be allocated to processes, binaries, services and users and they can allow them specific privileges that are normally reserved for root-level actions, such as being able to intercept network…
Хотите разобраться в облачных технологиях?
21 и 22 июня на «Azure Virtual Training Day: основы» эксперты Microsoft расскажут о базовых сценариях, моделях и сервисах облачных вычислений и покажут, как быстро интегрировать Azure в существующую ИТ-экосистему.
Узнайте, чем отличаются публичные, частные и гибридные облака. А главное – вы сможете подготовиться к сертификационному экзамену Azure и получите возможность сдать его бесплатно.
Регистрируйтесь и отмечайте в календаре: https://bit.ly/3cBw8WN
21 и 22 июня на «Azure Virtual Training Day: основы» эксперты Microsoft расскажут о базовых сценариях, моделях и сервисах облачных вычислений и покажут, как быстро интегрировать Azure в существующую ИТ-экосистему.
Узнайте, чем отличаются публичные, частные и гибридные облака. А главное – вы сможете подготовиться к сертификационному экзамену Azure и получите возможность сдать его бесплатно.
Регистрируйтесь и отмечайте в календаре: https://bit.ly/3cBw8WN
#pentest #mobile #android
Если вы хотите ворваться в пентест Android-приложений, то начать необходимо с настройки рабочего окружения. Сегодняшний мануал отлично подойдет для этого, а также позволит найти первые уязвимости.
https://proglib.io/w/879f0897
Если вы хотите ворваться в пентест Android-приложений, то начать необходимо с настройки рабочего окружения. Сегодняшний мануал отлично подойдет для этого, а также позволит найти первые уязвимости.
https://proglib.io/w/879f0897
Medium
Getting Started with Android Application Security
A starter’s guide to setting up a testbed, assessing, and finding vulnerabilities in android applications
#pentest #bugbounty #security
Записи вебинаров про анализ исходного кода приложения на уязвимости:
📺 Общая теория и практика анализа безопасности кода
📺 Использование open source инструмента Joern для анализа безопасности кода
Записи вебинаров про анализ исходного кода приложения на уязвимости:
📺 Общая теория и практика анализа безопасности кода
📺 Использование open source инструмента Joern для анализа безопасности кода
YouTube
How to Analyze Code for Vulnerabilities
▬▬▬▬▬▬ TIMESTAMPS ⏰ ▬▬▬▬▬▬
00:07:35 Vickie starts her presentation
▬▬▬▬▬▬ ABSTRACT & BIO 📝 ▬▬▬▬▬▬
Writing code is hard. Writing secure code is even harder. Serious security vulnerabilities often stem from small programming mistakes.
As developers…
00:07:35 Vickie starts her presentation
▬▬▬▬▬▬ ABSTRACT & BIO 📝 ▬▬▬▬▬▬
Writing code is hard. Writing secure code is even harder. Serious security vulnerabilities often stem from small programming mistakes.
As developers…
#recon
📖 Справочник, в котором обобщены и перечислены необходимые знания для правильного поиска / брута поддоменов.
https://proglib.io/w/fc8aedf1
📖 Справочник, в котором обобщены и перечислены необходимые знания для правильного поиска / брута поддоменов.
https://proglib.io/w/fc8aedf1
sidxparab.gitbook.io
Home 🏠
Comprehensive Subdomain Enumeration Guide
Привет! Проводим исследование, чтобы помочь программистам быстрее находить вакансии, релевантные их навыкам и запросам.
Присоединяйтесь — опрос займет не более 5 мин: https://proglib.io/w/fa68107d
Заинтересованным участникам вышлем ссылку на результаты.
Присоединяйтесь — опрос займет не более 5 мин: https://proglib.io/w/fa68107d
Заинтересованным участникам вышлем ссылку на результаты.
#security #pentest
Разбираем проблемы безопасности промышленных систем управления в сетях 4G/5G.
https://proglib.io/w/b8b3cc8a
Разбираем проблемы безопасности промышленных систем управления в сетях 4G/5G.
https://proglib.io/w/b8b3cc8a
Хабр
Атаки пятого поколения: проблемы безопасности промышленных систем управления в сетях 4G/5G
Кампусные сети 4G/LTE и 5G в промышленных условиях позволяют удовлетворить растущие требования к доступности связи с низкой задержкой без затрат на фиксированные...
#pentest #bugbounty
Руководство по поиску XSS и повышению критичности уязвимости до RCE в современных десктопных приложениях.
https://proglib.io/w/123bfec5
Руководство по поиску XSS и повышению критичности уязвимости до RCE в современных десктопных приложениях.
https://proglib.io/w/123bfec5
parsiya.net
The JavaScript Bridge in Modern Desktop Applications
We have an XSS in a desktop application, what happens next? How can you
escalate it to remote code execution? Let's see.
escalate it to remote code execution? Let's see.
#security #tools
Знакомимся с Dockle — инструментом, предназначенным для диагностики безопасности Docker-контейнеров и проверки на соответствие Best Practice.
https://proglib.io/w/38906fa0
Знакомимся с Dockle — инструментом, предназначенным для диагностики безопасности Docker-контейнеров и проверки на соответствие Best Practice.
https://proglib.io/w/38906fa0
Хабр
Dockle — Диагностика безопасности контейнеров
В этой статье мы рассмотрим Dockle — инструмент для проверки безопасности образов контейнеров, который можно использовать для поиска уязвимостей. Кроме того, с е...
#pentest #bugbounty
Тут известный багхантер zseano поделился собственной методологией поиска ошибок, включая инструменты и все детали, которые позволяют ему находить уязвимости, пропускаемые большинством исследователей.
https://proglib.io/w/a4f17eaf
Тут известный багхантер zseano поделился собственной методологией поиска ошибок, включая инструменты и все детали, которые позволяют ему находить уязвимости, пропускаемые большинством исследователей.
https://proglib.io/w/a4f17eaf
X (formerly Twitter)
zseano (@zseano) on X
#1 Amazon Security Researcher. hacking team with @jonathanbouman @fransrosen @avlidienbrunn - just crits & highs 🌧️
Ребята, мы тут решили провести микроопрос. Какую машину вы бы выбрали до 2млн в качестве первого авто?
Anonymous Poll
24%
Volkswagen Tiguan
21%
Toyota Camry
8%
Nissan X-Trail
5%
Hyundai Sonata
7%
Kia Optima
2%
Kia Seltos
9%
Kia K5
4%
Mitsubishi ASX
9%
Mitsubishi Outlander
34%
Нет машины, интересно что там по результатам
#security #pentest #bugbounty
Интересное исследование, освещающее концепции, лежащие в основе различных способов хранения и отправки сеансовых токенов на клиентской стороне.
К каждому способу приводится пример, оценивается влияние XSS-атак и устойчивость каждого из них.
https://proglib.io/w/51b4fbbe
Интересное исследование, освещающее концепции, лежащие в основе различных способов хранения и отправки сеансовых токенов на клиентской стороне.
К каждому способу приводится пример, оценивается влияние XSS-атак и устойчивость каждого из них.
https://proglib.io/w/51b4fbbe
ropnop blog
How to Store Session Tokens in a Browser (and the impacts of each)
A common question when building a SPA is: where do I store my session tokens? I’ll talk through the main options and the pros/cons of each
#bugbounty
Лонгрид про технику взлома учетных записей iCloud и причину отказа от вознаграждения (да, и так бывает).
https://proglib.io/w/260b1187
Лонгрид про технику взлома учетных записей iCloud и причину отказа от вознаграждения (да, и так бывает).
https://proglib.io/w/260b1187
The Zero Hack
How I Found A Vulnerability To Hack iCloud Accounts and How Apple Reacted To It - The Zero Hack
This article is about how I found a vulnerability on Apple forgot password endpoint that allowed me to takeover an iCloud account. The vulnerability is completely patched by Apple security team and it no longer works. Apple Security Team rewarded me $18,000…
Как стать профессиональным хакером и тестировать системы и продукты компаний на прочность?
Команда практикующих пентестеров HackerU разработала программу обучения, где 80% практики и 100% поддержки от менторов обеспечат старт в профессии «Специалист по тестированию на проникновение».
По окончанию курса вас ждёт: получение диплома о проф. переподготовке, 2500+ открытых вакансий и проектов по кибербезопасности, карьерная поддержка от HackerU в лице экспертов и HR, а также доход уже на старте от 80к в месяц!
Хотите начать прямо сейчас? Мы ждём всех на бесплатной консультации с экспертом-пентестером, в которую входит:
— разбор roadmap по профессиям в ИБ
— первые задачи в формате киберсоревнований CTF
— тестирование, определяющее точку вашего старта
— и ответы на ваши вопросы от эксперта
Пройдите бесплатную консультацию с экспертом и зафиксируйте стоимость курса со скидкой в 30%!
Регистрируйтесь на консультацию по ссылке: https://is.gd/1SIc6w
Команда практикующих пентестеров HackerU разработала программу обучения, где 80% практики и 100% поддержки от менторов обеспечат старт в профессии «Специалист по тестированию на проникновение».
По окончанию курса вас ждёт: получение диплома о проф. переподготовке, 2500+ открытых вакансий и проектов по кибербезопасности, карьерная поддержка от HackerU в лице экспертов и HR, а также доход уже на старте от 80к в месяц!
Хотите начать прямо сейчас? Мы ждём всех на бесплатной консультации с экспертом-пентестером, в которую входит:
— разбор roadmap по профессиям в ИБ
— первые задачи в формате киберсоревнований CTF
— тестирование, определяющее точку вашего старта
— и ответы на ваши вопросы от эксперта
Пройдите бесплатную консультацию с экспертом и зафиксируйте стоимость курса со скидкой в 30%!
Регистрируйтесь на консультацию по ссылке: https://is.gd/1SIc6w
#pentest #bugbounty
OWASP ZAP на максималках
Разработчики OWASP Zed Attack Proxy (ZAP) — популярного сканера веб-приложений, представили новую платформу автоматизации, которая заменяет параметры командной строки и пакетного сканирования.
Она позволяет вам управлять ZAP через один файл YAML и обеспечивает большую гибкость без привязки к какой-либо конкретной технологии.
https://proglib.io/w/60724fc2
OWASP ZAP на максималках
Разработчики OWASP Zed Attack Proxy (ZAP) — популярного сканера веб-приложений, представили новую платформу автоматизации, которая заменяет параметры командной строки и пакетного сканирования.
Она позволяет вам управлять ZAP через один файл YAML и обеспечивает большую гибкость без привязки к какой-либо конкретной технологии.
https://proglib.io/w/60724fc2
www.zaproxy.org
ZAP – Automation Framework
The world’s most widely used web app scanner. Free and open source. ZAP is a community project actively maintained by a dedicated international team, and a GitHub Top 1000 project.
#pentest #redteam
Коллекция инструментов для работы с Windows при проведении пентеста и ссылок на материалы исследований безопасности Windows.
https://proglib.io/w/507cdc62
Коллекция инструментов для работы с Windows при проведении пентеста и ссылок на материалы исследований безопасности Windows.
https://proglib.io/w/507cdc62
GitHub
windows-security/Readme_en.md at master · alphaSeclab/windows-security
Resources About Windows Security. 1100+ Open Source Tools. 3300+ Blog Post and Videos. - windows-security/Readme_en.md at master · alphaSeclab/windows-security
#OSINT
Видеозиписи выступлений с SANS OSINT Summit 2020 & 2021, с которых можно подчеркнуть для себя много полезного.
Видеозиписи выступлений с SANS OSINT Summit 2020 & 2021, с которых можно подчеркнуть для себя много полезного.
YouTube
OSINT Summit 2020 - YouTube
#OSINT #recon
Знакомимся с open source инструментом Osint-San, который можно смело назвать настоящим комбайном для проведения пассивной разведки и OSINT.
https://proglib.io/w/2ebe1ac4
Знакомимся с open source инструментом Osint-San, который можно смело назвать настоящим комбайном для проведения пассивной разведки и OSINT.
https://proglib.io/w/2ebe1ac4
