#devsecops
Если до сих пор не совсем понятно, что за зверь такой DevSecOps, ловите крутой обзор коллекции статей по теме.
https://proglib.io/w/cf385456
Если до сих пор не совсем понятно, что за зверь такой DevSecOps, ловите крутой обзор коллекции статей по теме.
https://proglib.io/w/cf385456
Хабр
От малого до энтерпрайза: коллекция статей по DevSecOps
Споры на тему «DevOps — это человек или методология?» уже неактуальны: всем надоело. Зато появился DevSecOps. И хотя термин не нов (первая конференция DevSecOps Summit прошла в 2016 году), его точное содержание бывает не до конца понятно и новичкам, и бывалым…
#tools #bugbounty #pentest
🔧 DataExtractor — расширение для Burp Suite, которое добавляет пассивное сканирование для извлечения данных из исходного кода.
https://proglib.io/w/c29eed57
🔧 DataExtractor — расширение для Burp Suite, которое добавляет пассивное сканирование для извлечения данных из исходного кода.
https://proglib.io/w/c29eed57
GitHub
GitHub - gwen001/DataExtractor: A simple Burp Suite extension to extract datas from source code.
A simple Burp Suite extension to extract datas from source code. - GitHub - gwen001/DataExtractor: A simple Burp Suite extension to extract datas from source code.
#bugbounty #pentest #practice #learning
Введение в современную веб-разработку
Подобные видеоуроки полезны для новичков в охоте за ошибками, т. к. охватывают прошлую и настоящую картину веба, в частности: микросервисы, ООП, MVC, фреймворки, middleware и многое другое. И почему же уязвимости вроде SQL-инъекций встречаются реже? Все ответы в видеоуроке.
https://proglib.io/w/dbed1735
Введение в современную веб-разработку
Подобные видеоуроки полезны для новичков в охоте за ошибками, т. к. охватывают прошлую и настоящую картину веба, в частности: микросервисы, ООП, MVC, фреймворки, middleware и многое другое. И почему же уязвимости вроде SQL-инъекций встречаются реже? Все ответы в видеоуроке.
https://proglib.io/w/dbed1735
YouTube
Katie Explains: Modern Web Development (GIVEAWAY)
I often tell people not to focus too much on CTFs or challenges on Twitter, but why? Well modern web dev has come a long way and many challenges just aren't realistic to what the modern web looks like. In this video I'll be breaking down these changes and…
#redteam #blueteam
Дампим LSASS для получения учетных данных из памяти в Windows без использования Mimikatz и разбираемся, как от этого можно защититься.
https://proglib.io/w/34ef194f
Дампим LSASS для получения учетных данных из памяти в Windows без использования Mimikatz и разбираемся, как от этого можно защититься.
https://proglib.io/w/34ef194f
White Oak Security
Attacks & Defenses: Dumping LSASS W/ No Mimikatz | White Oak
Talis from White Oak Security demonstrates the tools & the how to guide on both attacks and defenses regarding dumping LSASS without Mimikatz. Read more here.
#tools
А тем временем вышла новая версия коллекции классов для работы с сетевыми протоколами Impacket v0.9.24, которая включила много новых функций и улучшений.
https://proglib.io/w/09894c9a
А тем временем вышла новая версия коллекции классов для работы с сетевыми протоколами Impacket v0.9.24, которая включила много новых функций и улучшений.
https://proglib.io/w/09894c9a
SecureAuth
Impacket v0.9.24 Released
Here at SecureAuth, we’re excited to announce the release of the latest version of Impacket, our collection of Python classes for working with network protocols, and much more. Impacket release 0.9.24 is available today and includes a lot of new features…
#writeup #pentest #redteam
Смешно и грустно: от дефолтных учетных данных принтера до админа домена.
https://proglib.io/w/9ab84add
Смешно и грустно: от дефолтных учетных данных принтера до админа домена.
https://proglib.io/w/9ab84add
Boschko Security Blog
From Default Printer Credentials to Domain Admin
The tail of a Xerox pass-back-attack. How to exploit trust relationships between devices that are generally considered benign and critical systems.
#pentest #security #codereview
Серия руководств по анализу безопасности исходного кода Java-приложения для новичков и более опытных специалистов. К слову сказать, исследователям удалось найти заветную RCE.
➖Часть 1
➖Часть 2
Серия руководств по анализу безопасности исходного кода Java-приложения для новичков и более опытных специалистов. К слову сказать, исследователям удалось найти заветную RCE.
➖Часть 1
➖Часть 2
Synacktiv
Finding gadgets like it's 2015: part 1
We found a new Java gadget chain in the Mojarra library, one of the most used implementation of the JSF specification.
#redteam #pentest
Интересный кейс повышения привилегий через MySQL User Defined Functions.
https://proglib.io/w/ea7c1b97
Интересный кейс повышения привилегий через MySQL User Defined Functions.
https://proglib.io/w/ea7c1b97
Medium
Privilege Escalation with MySQL User Defined Functions
Extending MySQL functionality with UDFs — Banzai, Proving Grounds
Android security checklist: WebView
Android позволяет создать собственное окно для просмотра веб-страниц или даже создать свой клон браузера при помощи элемента WebView. Сам элемент использует движок WebKit и имеет множество свойств и методов.
WebView также подвержен наибольшему количеству потенциальных ошибок, которые рассмотрены в чек-листе, поэтому он будет полезен как Android-разработчикам, так и исследователям безопасности.
https://proglib.io/w/237c25df
Android позволяет создать собственное окно для просмотра веб-страниц или даже создать свой клон браузера при помощи элемента WebView. Сам элемент использует движок WebKit и имеет множество свойств и методов.
WebView также подвержен наибольшему количеству потенциальных ошибок, которые рассмотрены в чек-листе, поэтому он будет полезен как Android-разработчикам, так и исследователям безопасности.
https://proglib.io/w/237c25df
News, Techniques & Guides
Android security checklist: WebView
WebView is a web browser that can be built into an app, and represents the most widely used component of the Android ecosystem; it is also subject to the largest number of potential errors.
#appsec #tools #devsecops
AppSec-специалисту на заметку: SCA, DAST и GitHub Actions
В статье описаны теоретические аспекты динамического тестирования безопасности приложений (DAST) и
анализа состава программного обеспечения (SCA), а также показано, как использовать популярные инструменты SCA (FOSSA) и DAST (StackHawk) в GitHub Actions CI.
https://proglib.io/w/77248f35
AppSec-специалисту на заметку: SCA, DAST и GitHub Actions
В статье описаны теоретические аспекты динамического тестирования безопасности приложений (DAST) и
анализа состава программного обеспечения (SCA), а также показано, как использовать популярные инструменты SCA (FOSSA) и DAST (StackHawk) в GitHub Actions CI.
https://proglib.io/w/77248f35
Fossa
Shift-Left Open Source Risk Mitigation | FOSSA
Mitigate Risk and Eliminate Code Issues Earlier. FOSSA improves DevOps efficiency and minimizes disruption. Continuously monitor and mitigate open source risk.
#security #bugbounty #pentest #appsec
🎙️Podlodka Podcast: Продуктовая безопасность
В гости к авторам подкаста Podlodka пришел Сергей Белов, руководитель продуктовой безопасности Mail.Ru.
Сергей рассказал все о буднях безопасников в продуктовой компании, включая инструменты для анализа кода и поиска уязвимостей, построение процесса между разработчиками и безопасниками, где чьи зоны ответственности и как сотрудничать вместе эффективно.
А еще в выпуске есть поучительные истории фейл-кейсов, размышления о важности bug-bounty программ и судьбе багхантеров и куча других инсайдов — после прослушивания мир безопасников для вас не будет прежним.
🎙️Podlodka Podcast: Продуктовая безопасность
В гости к авторам подкаста Podlodka пришел Сергей Белов, руководитель продуктовой безопасности Mail.Ru.
Сергей рассказал все о буднях безопасников в продуктовой компании, включая инструменты для анализа кода и поиска уязвимостей, построение процесса между разработчиками и безопасниками, где чьи зоны ответственности и как сотрудничать вместе эффективно.
А еще в выпуске есть поучительные истории фейл-кейсов, размышления о важности bug-bounty программ и судьбе багхантеров и куча других инсайдов — после прослушивания мир безопасников для вас не будет прежним.
#news
Почти удавшаяся утечка на миллиард, фейковые директора и крупнейшее мошенничество по телефону. Читайте эти и другие ИБ-инциденты в блоге SearchInform, от которых кровь стынет в жилах.
https://proglib.io/w/77165300
Почти удавшаяся утечка на миллиард, фейковые директора и крупнейшее мошенничество по телефону. Читайте эти и другие ИБ-инциденты в блоге SearchInform, от которых кровь стынет в жилах.
https://proglib.io/w/77165300
Хабр
(не) Безопасный дайджест Halloween Edition: «воскресшие» учётки, похититель душ и похороны Facebook
В октябрьском дайджесте собрали страшно глупые ИБ-инциденты, от которых кровь стынет в жилах. В хеллоуинской повестке – почти удавшаяся утечка на миллиард, фейковые директора и крупнейшее...
🕵 10 самых опасных компьютерных вирусов нового века
Список наиболее опасных вирусов, нанесших в XXI веке значительный урон пользователям по всему миру.
https://proglib.io/sh/JPQeX1gVCD
Список наиболее опасных вирусов, нанесших в XXI веке значительный урон пользователям по всему миру.
https://proglib.io/sh/JPQeX1gVCD
#redteam #pentest #writeup
От нуля до администратора домена
В отчете описаны все детали атаки, которая началась с вредоносного документа с макросом и закончилась полной компрометацией домена всего за один час.
https://proglib.io/w/c8b1458e
От нуля до администратора домена
В отчете описаны все детали атаки, которая началась с вредоносного документа с макросом и закончилась полной компрометацией домена всего за один час.
https://proglib.io/w/c8b1458e
The DFIR Report
From Zero to Domain Admin
This report will go through an intrusion from July that began with an email, which included a link to Google's Feed Proxy service that was used to download a malicious Word document. Upon the user enabling macros, a Hancitor dll was executed, which called…
#bugbounty #tools #tips
Подборка однострочников для поиска скрытых параметров в JavaScript-файлах (вторая картинка — результат выполнения первого скрипта).
Подборка однострочников для поиска скрытых параметров в JavaScript-файлах (вторая картинка — результат выполнения первого скрипта).