#pentest #writeup
@ryotkak обнаружил уязвимость RCE через обход пути в библиотеке CDN Cloudflare cdnjs. Это могло позволить злоумышленникам взломать 12,7% всех веб-сайтов в Интернете.
https://proglib.io/w/248863fc
@ryotkak обнаружил уязвимость RCE через обход пути в библиотеке CDN Cloudflare cdnjs. Это могло позволить злоумышленникам взломать 12,7% всех веб-сайтов в Интернете.
https://proglib.io/w/248863fc
X (formerly Twitter)
RyotaK (@ryotkak) on X
20 years old / Security researcher?
| Icon: @MelvilleTw
| Private: @RyotaK_Private
| Keybase: https://t.co/At1h6p5Kxf
| Misskey: https://t.co/63E5Rpv2pk
| Icon: @MelvilleTw
| Private: @RyotaK_Private
| Keybase: https://t.co/At1h6p5Kxf
| Misskey: https://t.co/63E5Rpv2pk
#tools
Такой инструмент, как Netcat, представлять не требуется. Нашли для вас отличный туториал с описанием возможностей разных реализаций (Netcat Traditional, GNU Netcat, Netcat OpenBSD и Ncat).
https://proglib.io/w/258d8039
Такой инструмент, как Netcat, представлять не требуется. Нашли для вас отличный туториал с описанием возможностей разных реализаций (Netcat Traditional, GNU Netcat, Netcat OpenBSD и Ncat).
https://proglib.io/w/258d8039
blog.ikuamike.io
Netcat - All you need to know
Introduction Netcat is a tool that reads and writes data across network connections, using TCP or UDP protocol. Netcat has been referred to as the TCP/IP / networking swiss army knife. In this article we’ll look at different applications of netcat and how…
#bugbounty #practice
Тут известный багхантер @ajxchapman запустил обучающую платформу, которая позволит вам изучить навыки поиска ошибок, отточить техники и поиграть с новыми уязвимостями.
https://proglib.io/w/42593e70
Тут известный багхантер @ajxchapman запустил обучающую платформу, которая позволит вам изучить навыки поиска ошибок, отточить техники и поиграть с новыми уязвимостями.
https://proglib.io/w/42593e70
X (formerly Twitter)
Alex Chapman (@ajxchapman) on X
Full Time #BugBounty Vulnerability Researcher
#pentest
Качественное описание основных навыков и компетенций, которыми должен обладать профессиональный пентестер или этичный хакер.
https://proglib.io/w/72da8bb3
Качественное описание основных навыков и компетенций, которыми должен обладать профессиональный пентестер или этичный хакер.
https://proglib.io/w/72da8bb3
#tools #pentest #bugbounty
Руководство по работе с JWT_Tool — набором инструментов для проверки, подделки и сканирования JSON Web Token.
https://proglib.io/w/0e23c4c7
Руководство по работе с JWT_Tool — набором инструментов для проверки, подделки и сканирования JSON Web Token.
https://proglib.io/w/0e23c4c7
Intigriti
Hacker Tools: JWT_Tool - The JSON Web Token Toolkit
This week, we're going to check out JWT_Tool and how we can use it to find misconfigurations in JWT implementations. Are you ready to take a deep dive into this amazing tool?
#bugbounty #pentest
Руководство по нетрадиционным методам обхода программного обеспечения WAF / IDS на основе сигнатур.
https://proglib.io/w/a93b6f4a
Руководство по нетрадиционным методам обхода программного обеспечения WAF / IDS на основе сигнатур.
https://proglib.io/w/a93b6f4a
#news
В новой подборке главных ИБ-событий недели по версии Jet CSIRT — очередная уязвимость в ОС Windows, новая группировка BlackMatter и отчёт о самых эксплуатируемых уязвимостях.
https://proglib.io/w/4869a1e8
В новой подборке главных ИБ-событий недели по версии Jet CSIRT — очередная уязвимость в ОС Windows, новая группировка BlackMatter и отчёт о самых эксплуатируемых уязвимостях.
https://proglib.io/w/4869a1e8
Хабр
ТОП-3 ИБ-событий недели по версии Jet CSIRT
Сегодня в подборке новостей Jet CSIRT — очередная уязвимость в ОС Windows, новая группировка BlackMatter и отчёт о самых эксплуатируемых уязвимостях. Новости собирал Дмитрий Лифанов, ведущий...
#pentest #bugbounty
Багхантер GodfatherOrwa делится методологией и инструментами, которыми он пользовался при поиске уязвимостей в FaceBook.
https://proglib.io/w/196004a4
Багхантер GodfatherOrwa делится методологией и инструментами, которыми он пользовался при поиске уязвимостей в FaceBook.
https://proglib.io/w/196004a4
X (formerly Twitter)
Godfather Orwa 🇯🇴 (@GodfatherOrwa) on X
Hacker | Bug Hunter | Cooker | Top 3 P1 Warrior On https://t.co/dzFQH75OWj | https://t.co/TdLNCtmEGt | LevelUpX Champion | 10+ 0Days/CVEs
demystifying_nmap.pdf
4.5 MB
#blueteam #security
Документ, в котором содержится пошаговое подробное описание различных методов сканирования nmap и того, как трафик nmap выглядит в wirehark для каждого сканирования. Материалы также могут помочь в написании основных правил брандмауэра.
Документ, в котором содержится пошаговое подробное описание различных методов сканирования nmap и того, как трафик nmap выглядит в wirehark для каждого сканирования. Материалы также могут помочь в написании основных правил брандмауэра.
👍1
#pentest #bugbounty
Поиск Full Path Disclosure (FPD)
FPD — это ошибка, которая приводит к раскрытию полного пути к корневой веб-директории сервера. Хоть FPD не является уязвимостью, она может быть полезна для злоумышленника, поскольку позволяет с легкостью использовать другие несвязанные (или частично связанные) уязвимости. В статье приводится обзор методов поиска FPD.
https://proglib.io/w/b0fb150b
Поиск Full Path Disclosure (FPD)
FPD — это ошибка, которая приводит к раскрытию полного пути к корневой веб-директории сервера. Хоть FPD не является уязвимостью, она может быть полезна для злоумышленника, поскольку позволяет с легкостью использовать другие несвязанные (или частично связанные) уязвимости. В статье приводится обзор методов поиска FPD.
https://proglib.io/w/b0fb150b
0xFFFF@blog:~$
Triggering Full Path Disclosure – the basics
This is a tutorial covering some basic methods of triggering path disclosure – while FPD alone is not necessarily a security risk, it can be used in combination with other bugs to create a re…
#pentest #bugbounty #OSINT #tool
Как использовать инструмент SpiderFoot для мониторинга поверхности атаки
В корпоративном секторе обычно используется платная версия SpiderFoot, размещенная в облаке и предоставляющая полный набор возможностей мониторинга поверхности атаки.
В статье описано, как из бесплатной версии SpiderFoot выжать максимум для этих целей. Но никто не мешает использовать данный инструмент в своих целях 😎. Скажем, вы хотите получать уведомления удобным вам способом об изменении в исследуемой инфраструктуре (это одна из многих возможностей). Вооружайтесь SpiderFoot и вперед!
https://proglib.io/w/a0d6c73c
Как использовать инструмент SpiderFoot для мониторинга поверхности атаки
В корпоративном секторе обычно используется платная версия SpiderFoot, размещенная в облаке и предоставляющая полный набор возможностей мониторинга поверхности атаки.
В статье описано, как из бесплатной версии SpiderFoot выжать максимум для этих целей. Но никто не мешает использовать данный инструмент в своих целях 😎. Скажем, вы хотите получать уведомления удобным вам способом об изменении в исследуемой инфраструктуре (это одна из многих возможностей). Вооружайтесь SpiderFoot и вперед!
https://proglib.io/w/a0d6c73c
GitHub
GitHub - smicallef/spiderfoot: SpiderFoot automates OSINT for threat intelligence and mapping your attack surface.
SpiderFoot automates OSINT for threat intelligence and mapping your attack surface. - smicallef/spiderfoot
#pentest #mobile
Яков Школьников, iOS Developer в ITOMYCH STUDIO, рассказывает о методах пентеста приложения при наличии jailbreak девайса (на примере Monobank).
https://proglib.io/w/a24de2c5
Если у вас есть проблемы с загрузкой сайта, воспользуйтесь TOR браузером.
Яков Школьников, iOS Developer в ITOMYCH STUDIO, рассказывает о методах пентеста приложения при наличии jailbreak девайса (на примере Monobank).
https://proglib.io/w/a24de2c5
Если у вас есть проблемы с загрузкой сайта, воспользуйтесь TOR браузером.
DOU
Что можно достать из приложения, имея jailbreak девайс (на примере Monobank)
Яков Школьников, iOS разработчик c 6-летним опытом работы в сфере, занимается разработкой финтех приложений, где наиболее актуальна тема безопасности. Чтобы выявить проблемы такого рода, вам понадобится penetration testing. Некоторые проверки можно осуще
#tools #pentest #bugbounty
Руководство по работе с NoSQLMap — аналогом SQLMap для NoSQL
Если более подробно, то это инструмент, предназначенный для аудита / автоматизации атак с использованием инъекций и слабых мест конфигурации по умолчанию в базах данных NoSQL и веб-приложениях, использующих NoSQL.
https://proglib.io/w/3f17181b
Руководство по работе с NoSQLMap — аналогом SQLMap для NoSQL
Если более подробно, то это инструмент, предназначенный для аудита / автоматизации атак с использованием инъекций и слабых мест конфигурации по умолчанию в базах данных NoSQL и веб-приложениях, использующих NoSQL.
https://proglib.io/w/3f17181b
Intigriti
Hacker Tools: NoSQLMap – No SQL, Yes exploitation - Intigriti
Ever since big data and real-time applications have become the norm, we've increasingly needed different database solutions. MongoDB, CouchDB, Redis, Cassandra, and so many more NoSQL databases have sprouted, but what about their security? How do we go about…
Forwarded from Библиотека программиста | программирование, кодинг, разработка
Привет! На связи Библиотека программиста. Мы проводим двустороннее исследование, которое поможет программистам и компаниям легче находить друг друга. Хотим, чтобы HR-специалисты знали о реальных ожиданиях специалистов из IT. В анонимной форме многие вещи изложить проще, чем на собеседовании.
Если ты программист, пройди опрос в гугл-форме (займет около 5 минут): https://forms.gle/rA6zUm5Q5XSNzEdN8
Для HR мы подготовили вторую часть опроса в гугл-форме (займет около 5 минут): https://forms.gle/w5tStDYABNL9phz26.
Участники опроса получат доступ к результатам исследования.
Если ты программист, пройди опрос в гугл-форме (займет около 5 минут): https://forms.gle/rA6zUm5Q5XSNzEdN8
Для HR мы подготовили вторую часть опроса в гугл-форме (займет около 5 минут): https://forms.gle/w5tStDYABNL9phz26.
Участники опроса получат доступ к результатам исследования.
Вдогонку ко вчерашнему посту 👇
Forwarded from Библиотека программиста | программирование, кодинг, разработка
Подробное описание SSL/TLS и его криптографической системы
Перевод статьи, которая отвечает на следующие вопросы:
❓Что на самом деле происходит во время TLS-рукопожатия
❓Зачем нужно рукопожатие
❓Какие криптографические алгоритмы используются TLS для защиты данных
❓Что такое цифровая подпись и как она создается
❓Зачем нужны цифровые сертификаты и многие другие
https://proglib.io/w/99182de2
Перевод статьи, которая отвечает на следующие вопросы:
❓Что на самом деле происходит во время TLS-рукопожатия
❓Зачем нужно рукопожатие
❓Какие криптографические алгоритмы используются TLS для защиты данных
❓Что такое цифровая подпись и как она создается
❓Зачем нужны цифровые сертификаты и многие другие
https://proglib.io/w/99182de2
#pentest #bugbounty
Примеры использования XXE
Статья содержит несколько интересных векторов атак для XXE, например, XXE через KML, проприетарные файлы, файлы PDF и Excel.
https://proglib.io/w/1440d2f1
Примеры использования XXE
Статья содержит несколько интересных векторов атак для XXE, например, XXE через KML, проприетарные файлы, файлы PDF и Excel.
https://proglib.io/w/1440d2f1
My Cyber Endeavors
XXE Case Studies
As it has been some time since my last blog post, I decided I would set aside some time to write one now. The topic of this blog post is inspired by a bug I found earlier this morning on a bug bounty program.
👍1
#bugbounty #security
Разбираем популярные методы атаки и защиты Docker / Kubernetes.
https://proglib.io/w/2e642619
Разбираем популярные методы атаки и защиты Docker / Kubernetes.
https://proglib.io/w/2e642619
YouTube
Learn with Rohit: Attacks and Defenses to Docker & Kubernetes!!.
In this video, Rohit Sehgal alias sec_r0 (https://twitter.com/sec_r0) demonstrates docker and Kubernetes threats and defences while also discussing the basic concept.
# Links
----------------------------------
- All the Security Zines made by Rohit:
ht…
# Links
----------------------------------
- All the Security Zines made by Rohit:
ht…