#security
Статья о проблемах, с которыми столкнётся каждый системный администратор, использующий в своей работе возможность запуска программ от имени другого пользователя.
https://proglib.io/w/3bea4c38
Статья о проблемах, с которыми столкнётся каждый системный администратор, использующий в своей работе возможность запуска программ от имени другого пользователя.
https://proglib.io/w/3bea4c38
Хабр
Проблема использования RunAs на серверах
В этой статье я подробно расскажу о проблемах, с которыми столкнётся каждый системный администратор, использующий в своей работе возможность запуска программ от имени другого пользователя, в...
#security
А вы / ваша команда обновляете сторонние библиотеки в проектах?
В исследовании Veracode State of Software Security (SoSS) v11: Open Source Edition было обнаружено, что в 79% случаев сторонние библиотеки никогда не обновляются разработчиками после включения в кодовую базу.
Этот отчет SoSS ориентирован на приложения и компоненты с открытым исходным кодом и основан на анализе 13 миллионов сканирований более 86,000 репозиториев, содержащих более 301,000 уникальных библиотек. В анализ также включены результаты опроса об использовании стороннего программного обеспечения от почти 2000 разработчиков.
Кроме того, разработчики поставили «Безопасность» только на третье место по важности при выборе библиотеки, что крайне печально.
Источник
А вы / ваша команда обновляете сторонние библиотеки в проектах?
В исследовании Veracode State of Software Security (SoSS) v11: Open Source Edition было обнаружено, что в 79% случаев сторонние библиотеки никогда не обновляются разработчиками после включения в кодовую базу.
Этот отчет SoSS ориентирован на приложения и компоненты с открытым исходным кодом и основан на анализе 13 миллионов сканирований более 86,000 репозиториев, содержащих более 301,000 уникальных библиотек. В анализ также включены результаты опроса об использовании стороннего программного обеспечения от почти 2000 разработчиков.
Кроме того, разработчики поставили «Безопасность» только на третье место по важности при выборе библиотеки, что крайне печально.
Источник
#pentest #redteam #cheatsheet
Подборка шпаргалок по Wireshark, Reverse Shell, Metasploit и командной строке Windows.
https://proglib.io/w/0728acfe
Подборка шпаргалок по Wireshark, Reverse Shell, Metasploit и командной строке Windows.
https://proglib.io/w/0728acfe
GitHub
Security Cheat Sheet
Security Cheat Sheet has 4 repositories available. Follow their code on GitHub.
#bugbounty #security
Руководство по поиску ошибок в JavaScript-коде для багхантеров.
https://proglib.io/w/f9a5fdc8
Руководство по поиску ошибок в JavaScript-коде для багхантеров.
https://proglib.io/w/f9a5fdc8
Medium
JavaScript Code Review Guide for Bug Bounty Hunters
Javascript is one of the most crucial parts in web app nowadays. When you click inspect in browser, you will find Javascript code…
#redteam #reverse
Интересное описание процесса реверса одного вредоноса, который закреплялся в системе с использованием WMI.
https://proglib.io/w/c7921787
Интересное описание процесса реверса одного вредоноса, который закреплялся в системе с использованием WMI.
https://proglib.io/w/c7921787
Хабр
Анализ вредоносных программ. Интересные трюки
Закрепление в системе с использованием WMI В качестве вступления... Друзья и коллеги мне постоянно твердили, чтобы писал статьи, связанные с анализом вредоносных программ. Но неуверенность в...
#pentest
Разбираем 5 распространенных способов взлома и уязвимостей Bluetooth.
https://proglib.io/w/74a9f76c
Разбираем 5 распространенных способов взлома и уязвимостей Bluetooth.
https://proglib.io/w/74a9f76c
Hackernoon
How to Hack Bluetooth Devices: 5 Common Vulnerabilities | HackerNoon
This article discusses the five common vulnerabilities (BlueBorne, Bluesnarfing, Bluejacking, BIAS & Bluebugging) that allow hackers to hack Bluetooth devices.
Forwarded from Библиотека программиста | программирование, кодинг, разработка
Как вы проходите обучение на онлайн-курсах и интенсивах по программированию? Подробнее о своем опыте напишите в комментариях!
Anonymous Poll
20%
Беру от курса все: качественно выполняю все домашние задания, общаюсь с кураторами
4%
Бегло смотрю записи уроков, на практические задания не хватает времени
24%
Смотрю курсы в основном в записи, решаю задания по мере сил и возможностей
1%
Присутствую только на вебинарных занятиях, чтобы лично задать вопрос
6%
Купил и так и не прошел
29%
Ни разу не покупал и не проходил онлайн-курсы
17%
Посмотреть результаты
#pentest #bugbounty #tools
Мы с вами уже затрагивали инструмент Aquatone, но недавно вышло качественное руководство по работе с ним.
Aquatone по сути только делает скриншоты, но от того его все и любят, что он не переполнен функционалом и быстро может обработать большой объем входных данных.
Инструмент может работать в связке с такими инструментами, как Amass, GoBuster, Sublist3r, Fierce или Subfinder. С другой стороны, если скрины вам не так нужны, а просто хотите узнать код и заголовок ответа, можно воспользоваться утилитой httpx.
https://proglib.io/w/b875cf73
Мы с вами уже затрагивали инструмент Aquatone, но недавно вышло качественное руководство по работе с ним.
Aquatone по сути только делает скриншоты, но от того его все и любят, что он не переполнен функционалом и быстро может обработать большой объем входных данных.
Инструмент может работать в связке с такими инструментами, как Amass, GoBuster, Sublist3r, Fierce или Subfinder. С другой стороны, если скрины вам не так нужны, а просто хотите узнать код и заголовок ответа, можно воспользоваться утилитой httpx.
https://proglib.io/w/b875cf73
Telegram
Библиотека хакера
#pentest #bugbounty #tools
Об инструментах для анализа безопасности веб-приложений можно говорить бесконечно. Но правильный выбор инструментария может уменьшить количество рутинных операций и сократить время поиска уязвимостей.
Итак, вернемся к Burp Suite.…
Об инструментах для анализа безопасности веб-приложений можно говорить бесконечно. Но правильный выбор инструментария может уменьшить количество рутинных операций и сократить время поиска уязвимостей.
Итак, вернемся к Burp Suite.…
#bugbounty
Интересный лонгрид про исследование безопасности Kaspersky Password Manager.
https://proglib.io/w/202ede62
Интересный лонгрид про исследование безопасности Kaspersky Password Manager.
https://proglib.io/w/202ede62
Donjon
Kaspersky Password Manager: All your passwords are belong to us
Password generated by Kaspersky Password Manager were predictable (CVE-2020-27020).
#pentest
Kevin Backhouse, член GitHub Security Lab, демонстрирует свою методологию определения поверхности атаки, аудита кода и тестирования различных уязвимостей.
https://proglib.io/w/b6b115e7
Kevin Backhouse, член GitHub Security Lab, демонстрирует свою методологию определения поверхности атаки, аудита кода и тестирования различных уязвимостей.
https://proglib.io/w/b6b115e7
GitHub Security Lab
Securing open source software, together.
#security
Памятка и туториал по HTTP-заголовкам, связанным с безопасностью веб-приложений
В статье описаны результаты небольшого исследования, посвященного HTTP-заголовкам, которые связаны с безопасностью веб-приложений.
Сначала автор кратко разбирает основные виды уязвимостей веб-приложений, а также основные виды атак, основанные на этих уязвимостях. Далее рассматриваются все современные заголовки.
В практической части автор реализует простое Express-приложение, разворачивает его на
https://proglib.io/w/ecff7f4d
Памятка и туториал по HTTP-заголовкам, связанным с безопасностью веб-приложений
В статье описаны результаты небольшого исследования, посвященного HTTP-заголовкам, которые связаны с безопасностью веб-приложений.
Сначала автор кратко разбирает основные виды уязвимостей веб-приложений, а также основные виды атак, основанные на этих уязвимостях. Далее рассматриваются все современные заголовки.
В практической части автор реализует простое Express-приложение, разворачивает его на
Heroku и оценивает безопасность с помощью сервисов WebPageTest и Security Headers.https://proglib.io/w/ecff7f4d
Хабр
Памятка и туториал по HTTP-заголовкам, связанным с безопасностью веб-приложений
Доброго времени суток, друзья! В этой статье я хочу поделиться с вами результатами небольшого исследования, посвященного HTTP-заголовкам, которые связаны с безопасностью веб-приложений (далее —...
#pentest #writeup
@ryotkak обнаружил уязвимость RCE через обход пути в библиотеке CDN Cloudflare cdnjs. Это могло позволить злоумышленникам взломать 12,7% всех веб-сайтов в Интернете.
https://proglib.io/w/248863fc
@ryotkak обнаружил уязвимость RCE через обход пути в библиотеке CDN Cloudflare cdnjs. Это могло позволить злоумышленникам взломать 12,7% всех веб-сайтов в Интернете.
https://proglib.io/w/248863fc
X (formerly Twitter)
RyotaK (@ryotkak) on X
20 years old / Security researcher?
| Icon: @MelvilleTw
| Private: @RyotaK_Private
| Keybase: https://t.co/At1h6p5Kxf
| Misskey: https://t.co/63E5Rpv2pk
| Icon: @MelvilleTw
| Private: @RyotaK_Private
| Keybase: https://t.co/At1h6p5Kxf
| Misskey: https://t.co/63E5Rpv2pk
#tools
Такой инструмент, как Netcat, представлять не требуется. Нашли для вас отличный туториал с описанием возможностей разных реализаций (Netcat Traditional, GNU Netcat, Netcat OpenBSD и Ncat).
https://proglib.io/w/258d8039
Такой инструмент, как Netcat, представлять не требуется. Нашли для вас отличный туториал с описанием возможностей разных реализаций (Netcat Traditional, GNU Netcat, Netcat OpenBSD и Ncat).
https://proglib.io/w/258d8039
blog.ikuamike.io
Netcat - All you need to know
Introduction Netcat is a tool that reads and writes data across network connections, using TCP or UDP protocol. Netcat has been referred to as the TCP/IP / networking swiss army knife. In this article we’ll look at different applications of netcat and how…
#bugbounty #practice
Тут известный багхантер @ajxchapman запустил обучающую платформу, которая позволит вам изучить навыки поиска ошибок, отточить техники и поиграть с новыми уязвимостями.
https://proglib.io/w/42593e70
Тут известный багхантер @ajxchapman запустил обучающую платформу, которая позволит вам изучить навыки поиска ошибок, отточить техники и поиграть с новыми уязвимостями.
https://proglib.io/w/42593e70
X (formerly Twitter)
Alex Chapman (@ajxchapman) on X
Full Time #BugBounty Vulnerability Researcher
#pentest
Качественное описание основных навыков и компетенций, которыми должен обладать профессиональный пентестер или этичный хакер.
https://proglib.io/w/72da8bb3
Качественное описание основных навыков и компетенций, которыми должен обладать профессиональный пентестер или этичный хакер.
https://proglib.io/w/72da8bb3
#tools #pentest #bugbounty
Руководство по работе с JWT_Tool — набором инструментов для проверки, подделки и сканирования JSON Web Token.
https://proglib.io/w/0e23c4c7
Руководство по работе с JWT_Tool — набором инструментов для проверки, подделки и сканирования JSON Web Token.
https://proglib.io/w/0e23c4c7
Intigriti
Hacker Tools: JWT_Tool - The JSON Web Token Toolkit
This week, we're going to check out JWT_Tool and how we can use it to find misconfigurations in JWT implementations. Are you ready to take a deep dive into this amazing tool?
#bugbounty #pentest
Руководство по нетрадиционным методам обхода программного обеспечения WAF / IDS на основе сигнатур.
https://proglib.io/w/a93b6f4a
Руководство по нетрадиционным методам обхода программного обеспечения WAF / IDS на основе сигнатур.
https://proglib.io/w/a93b6f4a
#news
В новой подборке главных ИБ-событий недели по версии Jet CSIRT — очередная уязвимость в ОС Windows, новая группировка BlackMatter и отчёт о самых эксплуатируемых уязвимостях.
https://proglib.io/w/4869a1e8
В новой подборке главных ИБ-событий недели по версии Jet CSIRT — очередная уязвимость в ОС Windows, новая группировка BlackMatter и отчёт о самых эксплуатируемых уязвимостях.
https://proglib.io/w/4869a1e8
Хабр
ТОП-3 ИБ-событий недели по версии Jet CSIRT
Сегодня в подборке новостей Jet CSIRT — очередная уязвимость в ОС Windows, новая группировка BlackMatter и отчёт о самых эксплуатируемых уязвимостях. Новости собирал Дмитрий Лифанов, ведущий...