#pentest
Разбираем 5 распространенных способов взлома и уязвимостей Bluetooth.
https://proglib.io/w/74a9f76c
Разбираем 5 распространенных способов взлома и уязвимостей Bluetooth.
https://proglib.io/w/74a9f76c
Hackernoon
How to Hack Bluetooth Devices: 5 Common Vulnerabilities | HackerNoon
This article discusses the five common vulnerabilities (BlueBorne, Bluesnarfing, Bluejacking, BIAS & Bluebugging) that allow hackers to hack Bluetooth devices.
Как вы проходите обучение на онлайн-курсах и интенсивах по программированию? Подробнее о своем опыте напишите в комментариях!
Anonymous Poll
20%
Беру от курса все: качественно выполняю все домашние задания, общаюсь с кураторами
4%
Бегло смотрю записи уроков, на практические задания не хватает времени
24%
Смотрю курсы в основном в записи, решаю задания по мере сил и возможностей
1%
Присутствую только на вебинарных занятиях, чтобы лично задать вопрос
6%
Купил и так и не прошел
29%
Ни разу не покупал и не проходил онлайн-курсы
17%
Посмотреть результаты
#pentest #bugbounty #tools
Мы с вами уже затрагивали инструмент Aquatone, но недавно вышло качественное руководство по работе с ним.
Aquatone по сути только делает скриншоты, но от того его все и любят, что он не переполнен функционалом и быстро может обработать большой объем входных данных.
Инструмент может работать в связке с такими инструментами, как Amass, GoBuster, Sublist3r, Fierce или Subfinder. С другой стороны, если скрины вам не так нужны, а просто хотите узнать код и заголовок ответа, можно воспользоваться утилитой httpx.
https://proglib.io/w/b875cf73
Мы с вами уже затрагивали инструмент Aquatone, но недавно вышло качественное руководство по работе с ним.
Aquatone по сути только делает скриншоты, но от того его все и любят, что он не переполнен функционалом и быстро может обработать большой объем входных данных.
Инструмент может работать в связке с такими инструментами, как Amass, GoBuster, Sublist3r, Fierce или Subfinder. С другой стороны, если скрины вам не так нужны, а просто хотите узнать код и заголовок ответа, можно воспользоваться утилитой httpx.
https://proglib.io/w/b875cf73
Telegram
Библиотека хакера
#pentest #bugbounty #tools
Об инструментах для анализа безопасности веб-приложений можно говорить бесконечно. Но правильный выбор инструментария может уменьшить количество рутинных операций и сократить время поиска уязвимостей.
Итак, вернемся к Burp Suite.…
Об инструментах для анализа безопасности веб-приложений можно говорить бесконечно. Но правильный выбор инструментария может уменьшить количество рутинных операций и сократить время поиска уязвимостей.
Итак, вернемся к Burp Suite.…
#bugbounty
Интересный лонгрид про исследование безопасности Kaspersky Password Manager.
https://proglib.io/w/202ede62
Интересный лонгрид про исследование безопасности Kaspersky Password Manager.
https://proglib.io/w/202ede62
Donjon
Kaspersky Password Manager: All your passwords are belong to us
Password generated by Kaspersky Password Manager were predictable (CVE-2020-27020).
#pentest
Kevin Backhouse, член GitHub Security Lab, демонстрирует свою методологию определения поверхности атаки, аудита кода и тестирования различных уязвимостей.
https://proglib.io/w/b6b115e7
Kevin Backhouse, член GitHub Security Lab, демонстрирует свою методологию определения поверхности атаки, аудита кода и тестирования различных уязвимостей.
https://proglib.io/w/b6b115e7
GitHub Security Lab
Securing open source software, together.
#security
Памятка и туториал по HTTP-заголовкам, связанным с безопасностью веб-приложений
В статье описаны результаты небольшого исследования, посвященного HTTP-заголовкам, которые связаны с безопасностью веб-приложений.
Сначала автор кратко разбирает основные виды уязвимостей веб-приложений, а также основные виды атак, основанные на этих уязвимостях. Далее рассматриваются все современные заголовки.
В практической части автор реализует простое Express-приложение, разворачивает его на
https://proglib.io/w/ecff7f4d
Памятка и туториал по HTTP-заголовкам, связанным с безопасностью веб-приложений
В статье описаны результаты небольшого исследования, посвященного HTTP-заголовкам, которые связаны с безопасностью веб-приложений.
Сначала автор кратко разбирает основные виды уязвимостей веб-приложений, а также основные виды атак, основанные на этих уязвимостях. Далее рассматриваются все современные заголовки.
В практической части автор реализует простое Express-приложение, разворачивает его на
Heroku и оценивает безопасность с помощью сервисов WebPageTest и Security Headers.https://proglib.io/w/ecff7f4d
Хабр
Памятка и туториал по HTTP-заголовкам, связанным с безопасностью веб-приложений
Доброго времени суток, друзья! В этой статье я хочу поделиться с вами результатами небольшого исследования, посвященного HTTP-заголовкам, которые связаны с безопасностью веб-приложений (далее —...
#pentest #writeup
@ryotkak обнаружил уязвимость RCE через обход пути в библиотеке CDN Cloudflare cdnjs. Это могло позволить злоумышленникам взломать 12,7% всех веб-сайтов в Интернете.
https://proglib.io/w/248863fc
@ryotkak обнаружил уязвимость RCE через обход пути в библиотеке CDN Cloudflare cdnjs. Это могло позволить злоумышленникам взломать 12,7% всех веб-сайтов в Интернете.
https://proglib.io/w/248863fc
X (formerly Twitter)
RyotaK (@ryotkak) on X
20 years old / Security researcher?
| Icon: @MelvilleTw
| Private: @RyotaK_Private
| Keybase: https://t.co/At1h6p5Kxf
| Misskey: https://t.co/63E5Rpv2pk
| Icon: @MelvilleTw
| Private: @RyotaK_Private
| Keybase: https://t.co/At1h6p5Kxf
| Misskey: https://t.co/63E5Rpv2pk
#tools
Такой инструмент, как Netcat, представлять не требуется. Нашли для вас отличный туториал с описанием возможностей разных реализаций (Netcat Traditional, GNU Netcat, Netcat OpenBSD и Ncat).
https://proglib.io/w/258d8039
Такой инструмент, как Netcat, представлять не требуется. Нашли для вас отличный туториал с описанием возможностей разных реализаций (Netcat Traditional, GNU Netcat, Netcat OpenBSD и Ncat).
https://proglib.io/w/258d8039
blog.ikuamike.io
Netcat - All you need to know
Introduction Netcat is a tool that reads and writes data across network connections, using TCP or UDP protocol. Netcat has been referred to as the TCP/IP / networking swiss army knife. In this article we’ll look at different applications of netcat and how…
#bugbounty #practice
Тут известный багхантер @ajxchapman запустил обучающую платформу, которая позволит вам изучить навыки поиска ошибок, отточить техники и поиграть с новыми уязвимостями.
https://proglib.io/w/42593e70
Тут известный багхантер @ajxchapman запустил обучающую платформу, которая позволит вам изучить навыки поиска ошибок, отточить техники и поиграть с новыми уязвимостями.
https://proglib.io/w/42593e70
X (formerly Twitter)
Alex Chapman (@ajxchapman) on X
Full Time #BugBounty Vulnerability Researcher
#pentest
Качественное описание основных навыков и компетенций, которыми должен обладать профессиональный пентестер или этичный хакер.
https://proglib.io/w/72da8bb3
Качественное описание основных навыков и компетенций, которыми должен обладать профессиональный пентестер или этичный хакер.
https://proglib.io/w/72da8bb3
#tools #pentest #bugbounty
Руководство по работе с JWT_Tool — набором инструментов для проверки, подделки и сканирования JSON Web Token.
https://proglib.io/w/0e23c4c7
Руководство по работе с JWT_Tool — набором инструментов для проверки, подделки и сканирования JSON Web Token.
https://proglib.io/w/0e23c4c7
Intigriti
Hacker Tools: JWT_Tool - The JSON Web Token Toolkit
This week, we're going to check out JWT_Tool and how we can use it to find misconfigurations in JWT implementations. Are you ready to take a deep dive into this amazing tool?
#bugbounty #pentest
Руководство по нетрадиционным методам обхода программного обеспечения WAF / IDS на основе сигнатур.
https://proglib.io/w/a93b6f4a
Руководство по нетрадиционным методам обхода программного обеспечения WAF / IDS на основе сигнатур.
https://proglib.io/w/a93b6f4a
#news
В новой подборке главных ИБ-событий недели по версии Jet CSIRT — очередная уязвимость в ОС Windows, новая группировка BlackMatter и отчёт о самых эксплуатируемых уязвимостях.
https://proglib.io/w/4869a1e8
В новой подборке главных ИБ-событий недели по версии Jet CSIRT — очередная уязвимость в ОС Windows, новая группировка BlackMatter и отчёт о самых эксплуатируемых уязвимостях.
https://proglib.io/w/4869a1e8
Хабр
ТОП-3 ИБ-событий недели по версии Jet CSIRT
Сегодня в подборке новостей Jet CSIRT — очередная уязвимость в ОС Windows, новая группировка BlackMatter и отчёт о самых эксплуатируемых уязвимостях. Новости собирал Дмитрий Лифанов, ведущий...
#pentest #bugbounty
Багхантер GodfatherOrwa делится методологией и инструментами, которыми он пользовался при поиске уязвимостей в FaceBook.
https://proglib.io/w/196004a4
Багхантер GodfatherOrwa делится методологией и инструментами, которыми он пользовался при поиске уязвимостей в FaceBook.
https://proglib.io/w/196004a4
X (formerly Twitter)
Godfather Orwa 🇯🇴 (@GodfatherOrwa) on X
Hacker | Bug Hunter | Cooker | Top 3 P1 Warrior On https://t.co/dzFQH75OWj | https://t.co/TdLNCtmEGt | LevelUpX Champion | 10+ 0Days/CVEs
demystifying_nmap.pdf
4.5 MB
#pentest #bugbounty
Поиск Full Path Disclosure (FPD)
FPD — это ошибка, которая приводит к раскрытию полного пути к корневой веб-директории сервера. Хоть FPD не является уязвимостью, она может быть полезна для злоумышленника, поскольку позволяет с легкостью использовать другие несвязанные (или частично связанные) уязвимости. В статье приводится обзор методов поиска FPD.
https://proglib.io/w/b0fb150b
Поиск Full Path Disclosure (FPD)
FPD — это ошибка, которая приводит к раскрытию полного пути к корневой веб-директории сервера. Хоть FPD не является уязвимостью, она может быть полезна для злоумышленника, поскольку позволяет с легкостью использовать другие несвязанные (или частично связанные) уязвимости. В статье приводится обзор методов поиска FPD.
https://proglib.io/w/b0fb150b
0xFFFF@blog:~$
Triggering Full Path Disclosure – the basics
This is a tutorial covering some basic methods of triggering path disclosure – while FPD alone is not necessarily a security risk, it can be used in combination with other bugs to create a re…
#pentest #bugbounty #OSINT #tool
Как использовать инструмент SpiderFoot для мониторинга поверхности атаки
В корпоративном секторе обычно используется платная версия SpiderFoot, размещенная в облаке и предоставляющая полный набор возможностей мониторинга поверхности атаки.
В статье описано, как из бесплатной версии SpiderFoot выжать максимум для этих целей. Но никто не мешает использовать данный инструмент в своих целях 😎. Скажем, вы хотите получать уведомления удобным вам способом об изменении в исследуемой инфраструктуре (это одна из многих возможностей). Вооружайтесь SpiderFoot и вперед!
https://proglib.io/w/a0d6c73c
Как использовать инструмент SpiderFoot для мониторинга поверхности атаки
В корпоративном секторе обычно используется платная версия SpiderFoot, размещенная в облаке и предоставляющая полный набор возможностей мониторинга поверхности атаки.
В статье описано, как из бесплатной версии SpiderFoot выжать максимум для этих целей. Но никто не мешает использовать данный инструмент в своих целях 😎. Скажем, вы хотите получать уведомления удобным вам способом об изменении в исследуемой инфраструктуре (это одна из многих возможностей). Вооружайтесь SpiderFoot и вперед!
https://proglib.io/w/a0d6c73c
GitHub
GitHub - smicallef/spiderfoot: SpiderFoot automates OSINT for threat intelligence and mapping your attack surface.
SpiderFoot automates OSINT for threat intelligence and mapping your attack surface. - smicallef/spiderfoot