#appsec #tools #devsecops
AppSec-специалисту на заметку: SCA, DAST и GitHub Actions
В статье описаны теоретические аспекты динамического тестирования безопасности приложений (DAST) и
анализа состава программного обеспечения (SCA), а также показано, как использовать популярные инструменты SCA (FOSSA) и DAST (StackHawk) в GitHub Actions CI.
https://proglib.io/w/77248f35
AppSec-специалисту на заметку: SCA, DAST и GitHub Actions
В статье описаны теоретические аспекты динамического тестирования безопасности приложений (DAST) и
анализа состава программного обеспечения (SCA), а также показано, как использовать популярные инструменты SCA (FOSSA) и DAST (StackHawk) в GitHub Actions CI.
https://proglib.io/w/77248f35
Fossa
Shift-Left Open Source Risk Mitigation | FOSSA
Mitigate Risk and Eliminate Code Issues Earlier. FOSSA improves DevOps efficiency and minimizes disruption. Continuously monitor and mitigate open source risk.
#security #bugbounty #pentest #appsec
🎙️Podlodka Podcast: Продуктовая безопасность
В гости к авторам подкаста Podlodka пришел Сергей Белов, руководитель продуктовой безопасности Mail.Ru.
Сергей рассказал все о буднях безопасников в продуктовой компании, включая инструменты для анализа кода и поиска уязвимостей, построение процесса между разработчиками и безопасниками, где чьи зоны ответственности и как сотрудничать вместе эффективно.
А еще в выпуске есть поучительные истории фейл-кейсов, размышления о важности bug-bounty программ и судьбе багхантеров и куча других инсайдов — после прослушивания мир безопасников для вас не будет прежним.
🎙️Podlodka Podcast: Продуктовая безопасность
В гости к авторам подкаста Podlodka пришел Сергей Белов, руководитель продуктовой безопасности Mail.Ru.
Сергей рассказал все о буднях безопасников в продуктовой компании, включая инструменты для анализа кода и поиска уязвимостей, построение процесса между разработчиками и безопасниками, где чьи зоны ответственности и как сотрудничать вместе эффективно.
А еще в выпуске есть поучительные истории фейл-кейсов, размышления о важности bug-bounty программ и судьбе багхантеров и куча других инсайдов — после прослушивания мир безопасников для вас не будет прежним.
#news
Почти удавшаяся утечка на миллиард, фейковые директора и крупнейшее мошенничество по телефону. Читайте эти и другие ИБ-инциденты в блоге SearchInform, от которых кровь стынет в жилах.
https://proglib.io/w/77165300
Почти удавшаяся утечка на миллиард, фейковые директора и крупнейшее мошенничество по телефону. Читайте эти и другие ИБ-инциденты в блоге SearchInform, от которых кровь стынет в жилах.
https://proglib.io/w/77165300
Хабр
(не) Безопасный дайджест Halloween Edition: «воскресшие» учётки, похититель душ и похороны Facebook
В октябрьском дайджесте собрали страшно глупые ИБ-инциденты, от которых кровь стынет в жилах. В хеллоуинской повестке – почти удавшаяся утечка на миллиард, фейковые директора и крупнейшее...
🕵 10 самых опасных компьютерных вирусов нового века
Список наиболее опасных вирусов, нанесших в XXI веке значительный урон пользователям по всему миру.
https://proglib.io/sh/JPQeX1gVCD
Список наиболее опасных вирусов, нанесших в XXI веке значительный урон пользователям по всему миру.
https://proglib.io/sh/JPQeX1gVCD
#redteam #pentest #writeup
От нуля до администратора домена
В отчете описаны все детали атаки, которая началась с вредоносного документа с макросом и закончилась полной компрометацией домена всего за один час.
https://proglib.io/w/c8b1458e
От нуля до администратора домена
В отчете описаны все детали атаки, которая началась с вредоносного документа с макросом и закончилась полной компрометацией домена всего за один час.
https://proglib.io/w/c8b1458e
The DFIR Report
From Zero to Domain Admin
This report will go through an intrusion from July that began with an email, which included a link to Google's Feed Proxy service that was used to download a malicious Word document. Upon the user enabling macros, a Hancitor dll was executed, which called…
#bugbounty #tools #tips
Подборка однострочников для поиска скрытых параметров в JavaScript-файлах (вторая картинка — результат выполнения первого скрипта).
Подборка однострочников для поиска скрытых параметров в JavaScript-файлах (вторая картинка — результат выполнения первого скрипта).
✍🏻 Выпустили третий модуль курса «Статьи для IT». Модуль посвящен авторской редактуре. Рассказываем, как выбирать правильные слова, перекраивать предложения и абзацы так, чтобы текст было приятно читать.
📈 На курс за две недели записалось 120 человек. Не стесняйтесь писать комментарии под степами: и критические, и одобрительные. Начало обсуждения — хороший стимул для других, чтобы включиться в дискуссию. Активность учащихся поможет быстрее запросить у Степика возможность выдавать сертификаты.
Ссылка на курс: https://stepik.org/101672
📈 На курс за две недели записалось 120 человек. Не стесняйтесь писать комментарии под степами: и критические, и одобрительные. Начало обсуждения — хороший стимул для других, чтобы включиться в дискуссию. Активность учащихся поможет быстрее запросить у Степика возможность выдавать сертификаты.
Ссылка на курс: https://stepik.org/101672
Stepik: online education
Статьи для IT: как объяснять и распространять значимые идеи
Для тех, кто любит качественные IT-публикации и хочет научиться интересно писать о программировании и собственных IT-проектах
#practice #pentest #bugbounty
Изучаем продвинутые техники эксплуатации HTTP request smuggling.
https://proglib.io/w/1d475a83
Изучаем продвинутые техники эксплуатации HTTP request smuggling.
https://proglib.io/w/1d475a83
portswigger.net
What is HTTP request smuggling? Tutorial & Examples | Web Security Academy
In this section, we'll explain HTTP request smuggling attacks and describe how common request smuggling vulnerabilities can arise. Labs If you're already ...
Stored_XSS.PNG
1.4 MB
#pentest #bugbounty
Инфографика, которая поможет понять причины возникновения и критичность хранимых XSS-уязвимостей.
Инфографика, которая поможет понять причины возникновения и критичность хранимых XSS-уязвимостей.
Хотите освоить разработку с нуля и найти первую работу? proglib.academy создал новый онлайн-курс «Frontend-разработчик»:
Вы получите фундамент, необходимый каждому программисту, и освоите JavaScript — один из самых востребованных языков Фронтенда.
Оставьте заявку на сайте, чтобы узнать больше о программе и формате курса https://proglib.io/w/5008b518
Вы получите фундамент, необходимый каждому программисту, и освоите JavaScript — один из самых востребованных языков Фронтенда.
Оставьте заявку на сайте, чтобы узнать больше о программе и формате курса https://proglib.io/w/5008b518
#bugbounty #career
Исследователь безопасности рассказывает историю успеха и методологию поиска ошибок, которая позволила ему заработать 1 🍋 долларов за 4 года. К слову сказать, эта статья не про деньги, а про ход мышления.
https://proglib.io/w/fb5a9e11
Исследователь безопасности рассказывает историю успеха и методологию поиска ошибок, которая позволила ему заработать 1 🍋 долларов за 4 года. К слову сказать, эта статья не про деньги, а про ход мышления.
https://proglib.io/w/fb5a9e11
Medium
How to Start Bug Bounties 101 & How to Make a Million in 4 Years
I got lots of questions and requests especially from new beginners to the area, so wanted to prepare a blog post regarding how to start at…
#news
Интересно, когда уязвимость официально исправляют весной текущего года, а она по-прежнему представляет опасность. Короче, берегите свой GitLab.
https://proglib.io/w/083a6940
Интересно, когда уязвимость официально исправляют весной текущего года, а она по-прежнему представляет опасность. Короче, берегите свой GitLab.
https://proglib.io/w/083a6940
XAKEP
Хакеры эксплуатируют критическую RCE-уязвимость в GitLab
Критическая RCE-уязвимость в GitLab, ведущая к удаленному выполнению кода без аутентификации и исправленная 14 апреля 2021 года, по-прежнему представляет опасность для 50% развертываний. Хуже того, эту проблему активно используют хакеры.
#privacy #security
Таблица, в которой представлены результаты аудита конфиденциальности популярных веб-браузеров. Все значки кликабельные — можно получить конкретное подтверждение результатов. А вы каким браузером пользуетесь?
https://proglib.io/w/1c4a031a
Таблица, в которой представлены результаты аудита конфиденциальности популярных веб-браузеров. Все значки кликабельные — можно получить конкретное подтверждение результатов. А вы каким браузером пользуетесь?
https://proglib.io/w/1c4a031a
privacytests.org
Which browsers are best for privacy?
An open-source privacy audit of popular web browsers.
#practice #pentest #bugbounty
Уязвимое веб-приложение на NodeJS, которое включает следующие баги:
- Prototype Pollution ✅1
- No SQL Injection ✅2
- Cross site Scripting ✅3
- Broken Access Control ✅4
- Broken Session Management ✅5
- Weak Regex Implementation ✅ 6
- Race Condition ✅7
- CSRF -Cross Site Request Forgery ✅8
- Weak Bruteforce Protection ✅9
- User Enumeration ✅10
- Reset Password token leaking in Referrer ✅11
- Reset Password bugs ✅12
- Sensitive Data Exposure ✅13
- Unicode Case Mapping Collision ✅14
- File Upload ✅ 15
- SSRF ✅ 16
- XXE
- Open Redirection ✅ 17
- Directory Traversal ✅ 18
- Insecure Deserilization => Remote Code Execution ✅ 19
- Server Side Template Injection 🚶♂️🚶♂️🚶
- Timing Attack 🚶♂️🚶♂️🚶
https://proglib.io/w/a3a3da67
Уязвимое веб-приложение на NodeJS, которое включает следующие баги:
- Prototype Pollution ✅1
- No SQL Injection ✅2
- Cross site Scripting ✅3
- Broken Access Control ✅4
- Broken Session Management ✅5
- Weak Regex Implementation ✅ 6
- Race Condition ✅7
- CSRF -Cross Site Request Forgery ✅8
- Weak Bruteforce Protection ✅9
- User Enumeration ✅10
- Reset Password token leaking in Referrer ✅11
- Reset Password bugs ✅12
- Sensitive Data Exposure ✅13
- Unicode Case Mapping Collision ✅14
- File Upload ✅ 15
- SSRF ✅ 16
- XXE
- Open Redirection ✅ 17
- Directory Traversal ✅ 18
- Insecure Deserilization => Remote Code Execution ✅ 19
- Server Side Template Injection 🚶♂️🚶♂️🚶
- Timing Attack 🚶♂️🚶♂️🚶
https://proglib.io/w/a3a3da67
GitHub
GitHub - effortlessdevsec/ninjasworkout: Vulnerable NodeJS Web Application
Vulnerable NodeJS Web Application. Contribute to effortlessdevsec/ninjasworkout development by creating an account on GitHub.
#pentest #redteam
Распространенные атаки на Azure и Azure AD: теория и практика с использованием PowerZure.
➖Часть 1
➖Часть 2
Распространенные атаки на Azure и Azure AD: теория и практика с использованием PowerZure.
➖Часть 1
➖Часть 2
GitHub
GitHub - hausec/PowerZure: PowerShell framework to assess Azure security
PowerShell framework to assess Azure security. Contribute to hausec/PowerZure development by creating an account on GitHub.
#learning
58 бесплатных онлайн-курсов по кибербезопасности, криптографии и blockchain от ведущих университетов мира.
https://proglib.io/w/f82060e0
58 бесплатных онлайн-курсов по кибербезопасности, криптографии и blockchain от ведущих университетов мира.
https://proglib.io/w/f82060e0
Хабр
Ontol: 58 бесплатных онлайн-курсов по кибербезопасности, криптографии и blockchain от лучших университетов мира
Реклама платных курсов лезет из всех щелей, но мало кто знает, что есть тонны бесплатных онлайн-курсов и, порой, более качественных, чем платные. Предлагаю вашему вниманию 58 бесплатных онлайн-курсов...
#pentest #redteam #cheatsheet
Одна из самых полезных шпаргалок по эксплуатации Windows и Active Directory обновилась 👉 https://t.me/hackproglib/234
Одна из самых полезных шпаргалок по эксплуатации Windows и Active Directory обновилась 👉 https://t.me/hackproglib/234
Telegram
Библиотека хакера
#cheatsheet #tip #pentest
Подборка техник и команд для эксплуатации Windows и Active Directory.
https://proglib.io/w/02151ac2
Подборка техник и команд для эксплуатации Windows и Active Directory.
https://proglib.io/w/02151ac2