#writeup #pentest #redteam #practice
Захват Explore HTB — первой машины Hack The Box, основанной на Android.
https://proglib.io/w/d9a448bc
Захват Explore HTB — первой машины Hack The Box, основанной на Android.
https://proglib.io/w/d9a448bc
0xdf hacks stuff
HTB: Explore
Explore is the first Android box on HTB. There’s a relatively simple file read vulnerability in ES File Explorer that allows me to read images off the phone, including one with a password in it. With that password I’ll SSH into the phone, and access the Android…
#news
Очередная подборка новостей из сферы ИБ:
➖Топ 5 самых громких событий инфосека за октябрь 2021 от T.Hunter
➖Security Week от «Лаборатории Касперского»
➖ТОП-3 ИБ-событий недели по версии Jet CSIRT
Очередная подборка новостей из сферы ИБ:
➖Топ 5 самых громких событий инфосека за октябрь 2021 от T.Hunter
➖Security Week от «Лаборатории Касперского»
➖ТОП-3 ИБ-событий недели по версии Jet CSIRT
Хабр
Топ 5 самых громких событий инфосека за октябрь 2021
В этом дайджесте вспомним пять самых громких ИБшных событий октября 2021 и посмотрим, какое развитие они получили. Месяц начался с задорного падения всех фейсбучных сервисов и закончился тем, что...
#learning
Топ-10 лучших языков программирования для карьеры в сфере кибербезопасности в 2021 году. Правда, не совсем понятно, почему HTML, SQL и Bash / Powershell находятся в одном списке с ЯП 🤷♂️.
https://proglib.io/w/101c890c
Топ-10 лучших языков программирования для карьеры в сфере кибербезопасности в 2021 году. Правда, не совсем понятно, почему HTML, SQL и Bash / Powershell находятся в одном списке с ЯП 🤷♂️.
https://proglib.io/w/101c890c
Представляем анонс практических интенсивов от proglib.academy!
22.11 стартуют интенсивы. Вы научитесь:
👉Планировать архитектуру ПО и мигрировать с монолита - Микросервисная архитектура;
👉Правильно выбрать NoSQL БД в зависимости от поставленных задач и уверенно работать с любой из них - NoSql (MongoDB, Redis, Cassandra);
👉Применять шаблоны проектирования в разработках, понимать SOLID принципы и писать чистый код - Архитектура и шаблоны проектирования.
Успейте оставить заявку и занять место по спец. цене https://proglib.io/w/a8bc2657
22.11 стартуют интенсивы. Вы научитесь:
👉Планировать архитектуру ПО и мигрировать с монолита - Микросервисная архитектура;
👉Правильно выбрать NoSQL БД в зависимости от поставленных задач и уверенно работать с любой из них - NoSql (MongoDB, Redis, Cassandra);
👉Применять шаблоны проектирования в разработках, понимать SOLID принципы и писать чистый код - Архитектура и шаблоны проектирования.
Успейте оставить заявку и занять место по спец. цене https://proglib.io/w/a8bc2657
#tool #bugbounty #pentest
CLI-инструмент для автоматизации поиска уязвимости Web Cache Poisoning.
https://proglib.io/w/4a102522
CLI-инструмент для автоматизации поиска уязвимости Web Cache Poisoning.
https://proglib.io/w/4a102522
GitHub
GitHub - Hackmanit/Web-Cache-Vulnerability-Scanner: Web Cache Vulnerability Scanner is a Go-based CLI tool for testing for web…
Web Cache Vulnerability Scanner is a Go-based CLI tool for testing for web cache poisoning. It is developed by Hackmanit GmbH (http://hackmanit.de/). - GitHub - Hackmanit/Web-Cache-Vulnerability-Sc...
#news #security
Примерно 30 000 раз были загружены вредоносные пакеты с PyPI — официального репозитория стороннего программного обеспечения для Python. Но это полбеды. Несколько месяцев назад команда PyPI также исправила дыру в безопасности платформы, которая потенциально могла быть использована для взлома всего концентратора библиотек Python. Это все к тому, что атаки через цепочку поставок будут только набирать обороты и к тому, что необходимо тщательно проверять сторонние пакеты и библиотеки.
https://proglib.io/w/9980181f
Примерно 30 000 раз были загружены вредоносные пакеты с PyPI — официального репозитория стороннего программного обеспечения для Python. Но это полбеды. Несколько месяцев назад команда PyPI также исправила дыру в безопасности платформы, которая потенциально могла быть использована для взлома всего концентратора библиотек Python. Это все к тому, что атаки через цепочку поставок будут только набирать обороты и к тому, что необходимо тщательно проверять сторонние пакеты и библиотеки.
https://proglib.io/w/9980181f
JFrog
Python developers are being targeted with malicious packages on PyPI
JFrog finds a new supply chain attack targeting python developers using the PyPI repository
#devsecops #devops #security
Построение простого CI/CD-пайплайна с инструментами контроля безопасности с помощью бесплатных инструментов.
https://proglib.io/w/4639c11d
Построение простого CI/CD-пайплайна с инструментами контроля безопасности с помощью бесплатных инструментов.
https://proglib.io/w/4639c11d
Хабр
DevSecOps «за 5 копеек»
В этой статье один из сотрудников нашей компании Сергей Полунин Belowzero273 расскажет, как с помощью бесплатных инструментов можно построить простой CI/CD-пайплайн с инструментами контроля...
#practice #guide #pentest #bugbounty
Узнайте, как можно реализовать XXE-инъекцию с помощью функции загрузки изображений формата SVG.
https://proglib.io/w/84a42cde
Узнайте, как можно реализовать XXE-инъекцию с помощью функции загрузки изображений формата SVG.
https://proglib.io/w/84a42cde
YouTube
How to run an XXE injection via an SVG Image Upload!
👩🎓👨🎓 Learn how you can run a successful XXE injection via an image upload functionality. We are going to achieve this by uploading an SVG (scalable vector graphics) file.
Overview:
00:00 Intro
00:21 Lab overview
01:22 What are SVG files?
02:24 How does…
Overview:
00:00 Intro
00:21 Lab overview
01:22 What are SVG files?
02:24 How does…
#security #redteam #pentest #blueteam
Специалисты Detectify Labs провели исследование, в рамках которого проанализировали более 900 миллионов общедоступных сертификатов SSL / TLS. Ни для кого не секрет, что в них хранится множество информации… Но какой?
https://proglib.io/w/3d421f24
Специалисты Detectify Labs провели исследование, в рамках которого проанализировали более 900 миллионов общедоступных сертификатов SSL / TLS. Ни для кого не секрет, что в них хранится множество информации… Но какой?
https://proglib.io/w/3d421f24
#guide #practice #redteam #pentest
От введения в основы Python для разработки и автоматизации эксплойтов до полного цикла кибератаки:
➖Introduction to Python Basics
➖Introduction to Python Basics #2
➖Recon, Vulnerable Code Assessment, Exploit Automation, Bypasses & Patching all one. (Python, PHP)
От введения в основы Python для разработки и автоматизации эксплойтов до полного цикла кибератаки:
➖Introduction to Python Basics
➖Introduction to Python Basics #2
➖Recon, Vulnerable Code Assessment, Exploit Automation, Bypasses & Patching all one. (Python, PHP)
#pentest #bugbounty #redteam #cloud
Демонстрация нового метода выявления уязвимости Header Smuggling и последствий ее эксплуатации: Cache Poisoning, обход ограничений IP в AWS API Gateway и Request Smuggling.
https://proglib.io/w/8ef05396
Демонстрация нового метода выявления уязвимости Header Smuggling и последствий ее эксплуатации: Cache Poisoning, обход ограничений IP в AWS API Gateway и Request Smuggling.
https://proglib.io/w/8ef05396
www.intruder.io
Practical HTTP Header Smuggling: Sneaking Past Reverse Proxies to Attack AWS and Beyond
Modern web applications typically rely on chains of multiple servers, which forward HTTP requests to one another. The attack surface created by this forwarding is increasingly receiving more attention, including the recent popularisation of cache poisoning...
#guide #bugbounty #security
В техническом блоге Mozilla вышло краткое и простое руководство по обнаружению и предотвращению DOM-based XSS с помощью статического анализа.
https://proglib.io/w/2f5c90cf
В техническом блоге Mozilla вышло краткое и простое руководство по обнаружению и предотвращению DOM-based XSS с помощью статического анализа.
https://proglib.io/w/2f5c90cf
Attack & Defense
Finding and Fixing DOM-based XSS with Static Analysis
Despite all the efforts of fixing Cross-Site Scripting (XSS) on the web, it continuously ranks as one of the most dangerous security issues in software. In particular, DOM-based XSS is ...
#guide #pentest #bugbounty
Руководство по работе с Turbo Intruder на русском 🔥.
https://proglib.io/w/a1670b72
Руководство по работе с Turbo Intruder на русском 🔥.
https://proglib.io/w/a1670b72
Хабр
Turbo Intruder и потерянное руководство пользователя
Практически каждый, кто хоть немного пользовался Burp Suite, знает про Intruder - инструмент внутри Burp, который позволяет автоматизировать атаки на веб-приложения, такие как брутфорс, фаззинг,...
#cheatsheet #guide #pentest #redteam
Nmap Cheat Sheet by SecurityTrails: от новичка до профессионала.
https://proglib.io/w/b0011307
Nmap Cheat Sheet by SecurityTrails: от новичка до профессионала.
https://proglib.io/w/b0011307
Продолжаем издавать курс «Статьи для IT». В прошлых модулях обсудили, как собрать, отредактировать и проиллюстрировать текст. Теперь каждый студент курса может занятно и ясно рассказать о своём проекте, руководствуясь несложными приёмами.
Но подготовить текст мало — надо донести его до читателей. В новом модуле рассказываем о распространении статей: где публиковаться, как формировать сообщество и взаимодействовать с читателями.
Подписывайтесь на курс и прокачивайте личный бренд. Бесплатно для всех авторов и читателей Библиотеки программиста: https://stepik.org/101672
Но подготовить текст мало — надо донести его до читателей. В новом модуле рассказываем о распространении статей: где публиковаться, как формировать сообщество и взаимодействовать с читателями.
Подписывайтесь на курс и прокачивайте личный бренд. Бесплатно для всех авторов и читателей Библиотеки программиста: https://stepik.org/101672
Stepik: online education
Статьи для IT: как объяснять и распространять значимые идеи
Для тех, кто любит качественные IT-публикации и хочет научиться интересно писать о программировании и собственных IT-проектах
#ctf #forensic #pentest
Подборка writeup’ов от специалиста по кибербезопасности из Кении Michael Ikua:
➖SheHacksKE HackFest 2021 CTF
➖AfricaHackon 2021 CTF Finals
➖H@cktivityCon 2021 CTF
Подборка writeup’ов от специалиста по кибербезопасности из Кении Michael Ikua:
➖SheHacksKE HackFest 2021 CTF
➖AfricaHackon 2021 CTF Finals
➖H@cktivityCon 2021 CTF
blog.ikuamike.io
SheHacksKE HackFest 2021 CTF WriteUp
Introduction @SheHacksKE held their yearly hackfest event in October 2021 but it was online this year. The event included a CTF that was facilitated by @eKRAALhub . @mystic_kev and I participated in the CTF as NoPwnNoGain and won it by completed all challenges.…