#tools
А тем временем вышла новая версия коллекции классов для работы с сетевыми протоколами Impacket v0.9.24, которая включила много новых функций и улучшений.
https://proglib.io/w/09894c9a
А тем временем вышла новая версия коллекции классов для работы с сетевыми протоколами Impacket v0.9.24, которая включила много новых функций и улучшений.
https://proglib.io/w/09894c9a
SecureAuth
Impacket v0.9.24 Released
Here at SecureAuth, we’re excited to announce the release of the latest version of Impacket, our collection of Python classes for working with network protocols, and much more. Impacket release 0.9.24 is available today and includes a lot of new features…
#writeup #pentest #redteam
Смешно и грустно: от дефолтных учетных данных принтера до админа домена.
https://proglib.io/w/9ab84add
Смешно и грустно: от дефолтных учетных данных принтера до админа домена.
https://proglib.io/w/9ab84add
Boschko Security Blog
From Default Printer Credentials to Domain Admin
The tail of a Xerox pass-back-attack. How to exploit trust relationships between devices that are generally considered benign and critical systems.
#pentest #security #codereview
Серия руководств по анализу безопасности исходного кода Java-приложения для новичков и более опытных специалистов. К слову сказать, исследователям удалось найти заветную RCE.
➖Часть 1
➖Часть 2
Серия руководств по анализу безопасности исходного кода Java-приложения для новичков и более опытных специалистов. К слову сказать, исследователям удалось найти заветную RCE.
➖Часть 1
➖Часть 2
Synacktiv
Finding gadgets like it's 2015: part 1
We found a new Java gadget chain in the Mojarra library, one of the most used implementation of the JSF specification.
#redteam #pentest
Интересный кейс повышения привилегий через MySQL User Defined Functions.
https://proglib.io/w/ea7c1b97
Интересный кейс повышения привилегий через MySQL User Defined Functions.
https://proglib.io/w/ea7c1b97
Medium
Privilege Escalation with MySQL User Defined Functions
Extending MySQL functionality with UDFs — Banzai, Proving Grounds
Android security checklist: WebView
Android позволяет создать собственное окно для просмотра веб-страниц или даже создать свой клон браузера при помощи элемента WebView. Сам элемент использует движок WebKit и имеет множество свойств и методов.
WebView также подвержен наибольшему количеству потенциальных ошибок, которые рассмотрены в чек-листе, поэтому он будет полезен как Android-разработчикам, так и исследователям безопасности.
https://proglib.io/w/237c25df
Android позволяет создать собственное окно для просмотра веб-страниц или даже создать свой клон браузера при помощи элемента WebView. Сам элемент использует движок WebKit и имеет множество свойств и методов.
WebView также подвержен наибольшему количеству потенциальных ошибок, которые рассмотрены в чек-листе, поэтому он будет полезен как Android-разработчикам, так и исследователям безопасности.
https://proglib.io/w/237c25df
News, Techniques & Guides
Android security checklist: WebView
WebView is a web browser that can be built into an app, and represents the most widely used component of the Android ecosystem; it is also subject to the largest number of potential errors.
#appsec #tools #devsecops
AppSec-специалисту на заметку: SCA, DAST и GitHub Actions
В статье описаны теоретические аспекты динамического тестирования безопасности приложений (DAST) и
анализа состава программного обеспечения (SCA), а также показано, как использовать популярные инструменты SCA (FOSSA) и DAST (StackHawk) в GitHub Actions CI.
https://proglib.io/w/77248f35
AppSec-специалисту на заметку: SCA, DAST и GitHub Actions
В статье описаны теоретические аспекты динамического тестирования безопасности приложений (DAST) и
анализа состава программного обеспечения (SCA), а также показано, как использовать популярные инструменты SCA (FOSSA) и DAST (StackHawk) в GitHub Actions CI.
https://proglib.io/w/77248f35
Fossa
Shift-Left Open Source Risk Mitigation | FOSSA
Mitigate Risk and Eliminate Code Issues Earlier. FOSSA improves DevOps efficiency and minimizes disruption. Continuously monitor and mitigate open source risk.
#security #bugbounty #pentest #appsec
🎙️Podlodka Podcast: Продуктовая безопасность
В гости к авторам подкаста Podlodka пришел Сергей Белов, руководитель продуктовой безопасности Mail.Ru.
Сергей рассказал все о буднях безопасников в продуктовой компании, включая инструменты для анализа кода и поиска уязвимостей, построение процесса между разработчиками и безопасниками, где чьи зоны ответственности и как сотрудничать вместе эффективно.
А еще в выпуске есть поучительные истории фейл-кейсов, размышления о важности bug-bounty программ и судьбе багхантеров и куча других инсайдов — после прослушивания мир безопасников для вас не будет прежним.
🎙️Podlodka Podcast: Продуктовая безопасность
В гости к авторам подкаста Podlodka пришел Сергей Белов, руководитель продуктовой безопасности Mail.Ru.
Сергей рассказал все о буднях безопасников в продуктовой компании, включая инструменты для анализа кода и поиска уязвимостей, построение процесса между разработчиками и безопасниками, где чьи зоны ответственности и как сотрудничать вместе эффективно.
А еще в выпуске есть поучительные истории фейл-кейсов, размышления о важности bug-bounty программ и судьбе багхантеров и куча других инсайдов — после прослушивания мир безопасников для вас не будет прежним.
#news
Почти удавшаяся утечка на миллиард, фейковые директора и крупнейшее мошенничество по телефону. Читайте эти и другие ИБ-инциденты в блоге SearchInform, от которых кровь стынет в жилах.
https://proglib.io/w/77165300
Почти удавшаяся утечка на миллиард, фейковые директора и крупнейшее мошенничество по телефону. Читайте эти и другие ИБ-инциденты в блоге SearchInform, от которых кровь стынет в жилах.
https://proglib.io/w/77165300
Хабр
(не) Безопасный дайджест Halloween Edition: «воскресшие» учётки, похититель душ и похороны Facebook
В октябрьском дайджесте собрали страшно глупые ИБ-инциденты, от которых кровь стынет в жилах. В хеллоуинской повестке – почти удавшаяся утечка на миллиард, фейковые директора и крупнейшее...
🕵 10 самых опасных компьютерных вирусов нового века
Список наиболее опасных вирусов, нанесших в XXI веке значительный урон пользователям по всему миру.
https://proglib.io/sh/JPQeX1gVCD
Список наиболее опасных вирусов, нанесших в XXI веке значительный урон пользователям по всему миру.
https://proglib.io/sh/JPQeX1gVCD
#redteam #pentest #writeup
От нуля до администратора домена
В отчете описаны все детали атаки, которая началась с вредоносного документа с макросом и закончилась полной компрометацией домена всего за один час.
https://proglib.io/w/c8b1458e
От нуля до администратора домена
В отчете описаны все детали атаки, которая началась с вредоносного документа с макросом и закончилась полной компрометацией домена всего за один час.
https://proglib.io/w/c8b1458e
The DFIR Report
From Zero to Domain Admin
This report will go through an intrusion from July that began with an email, which included a link to Google's Feed Proxy service that was used to download a malicious Word document. Upon the user enabling macros, a Hancitor dll was executed, which called…
#bugbounty #tools #tips
Подборка однострочников для поиска скрытых параметров в JavaScript-файлах (вторая картинка — результат выполнения первого скрипта).
Подборка однострочников для поиска скрытых параметров в JavaScript-файлах (вторая картинка — результат выполнения первого скрипта).
✍🏻 Выпустили третий модуль курса «Статьи для IT». Модуль посвящен авторской редактуре. Рассказываем, как выбирать правильные слова, перекраивать предложения и абзацы так, чтобы текст было приятно читать.
📈 На курс за две недели записалось 120 человек. Не стесняйтесь писать комментарии под степами: и критические, и одобрительные. Начало обсуждения — хороший стимул для других, чтобы включиться в дискуссию. Активность учащихся поможет быстрее запросить у Степика возможность выдавать сертификаты.
Ссылка на курс: https://stepik.org/101672
📈 На курс за две недели записалось 120 человек. Не стесняйтесь писать комментарии под степами: и критические, и одобрительные. Начало обсуждения — хороший стимул для других, чтобы включиться в дискуссию. Активность учащихся поможет быстрее запросить у Степика возможность выдавать сертификаты.
Ссылка на курс: https://stepik.org/101672
Stepik: online education
Статьи для IT: как объяснять и распространять значимые идеи
Для тех, кто любит качественные IT-публикации и хочет научиться интересно писать о программировании и собственных IT-проектах
#practice #pentest #bugbounty
Изучаем продвинутые техники эксплуатации HTTP request smuggling.
https://proglib.io/w/1d475a83
Изучаем продвинутые техники эксплуатации HTTP request smuggling.
https://proglib.io/w/1d475a83
portswigger.net
What is HTTP request smuggling? Tutorial & Examples | Web Security Academy
In this section, we'll explain HTTP request smuggling attacks and describe how common request smuggling vulnerabilities can arise. Labs If you're already ...
Stored_XSS.PNG
1.4 MB
#pentest #bugbounty
Инфографика, которая поможет понять причины возникновения и критичность хранимых XSS-уязвимостей.
Инфографика, которая поможет понять причины возникновения и критичность хранимых XSS-уязвимостей.
Хотите освоить разработку с нуля и найти первую работу? proglib.academy создал новый онлайн-курс «Frontend-разработчик»:
Вы получите фундамент, необходимый каждому программисту, и освоите JavaScript — один из самых востребованных языков Фронтенда.
Оставьте заявку на сайте, чтобы узнать больше о программе и формате курса https://proglib.io/w/5008b518
Вы получите фундамент, необходимый каждому программисту, и освоите JavaScript — один из самых востребованных языков Фронтенда.
Оставьте заявку на сайте, чтобы узнать больше о программе и формате курса https://proglib.io/w/5008b518