#tools #guide

Useful sed, Simple Awk и Quick Grep — репозитории с полезными ссылками, командами, руководствами и советами, которые следуют жизнь с sed, awk и grep проще.

#pentest #bugbounty #security

Атака с большим будущим: за что SSRF поместили в ТОП-10 киберугроз

Ольга Рыбакова, аналитик отдела анализа защищенности Solar JSOC компании "Ростелеком-Солар", рассказывает теоретические и практические аспекты SSRF-атаки, а также затрагивает вопросы последствий данной атаки.

https://proglib.io/w/9cf79540

#tools #bugbounty #pentest

Знакомимся с GoSpider — инструментом для автоматизации поиска эндпоинтов на целевом домене.

https://proglib.io/w/20c9687f

Есть здесь любители Linux? Мы собрали для вас 36 популярных дистрибутивов и распределили их в зависимости от потребностей. Вы просто отвечаете на вопросы, а тест сам подберет список подходящих дистрибутивов для соответствующих целей и уровня подготовки 👇.

​🐧 Тест для новичков: какой дистрибутив Linux выбрать?

В этом тесте мы собрали 36 популярных дистрибутивов Linux и распределили их в зависимости от потребностей пользователя. Вы просто отвечаете на вопросы, а тест сам подберет список подходящих дистрибутивов для соответствующих целей и уровня подготовки.

https://proglib.io/sh/HBnsVyeUDQ

#book #pentest

Black Hat Rust: Deep dive into offensive security with the Rust programming language

Автор: Sylvain Kerkour

Ранее публиковали подобную книгу по Go и Python. Теперь на очереди Rust.

Перед вами теоретическое и практическое руководство по наступательной безопасности с помощью языка Rust, которое точно должно понравиться, если вы:

➖Все время говорите «покажите мне код!» когда читаете о кибератаках и вредоносных программах
➖Хотите изучить реальные и идиоматические методы Rust
➖Считаете, что лучший защитник думает как атакующий
➖Разрабатываете собственные инструменты и эксплойты на Python, Ruby, C, Java и т. д.
➖Хотите изучить реальную наступательную безопасность, а не только пентест
➖Хотите начать свою карьеру в Bug Bounty или Red Team

#bugbounty #pentest #cheatsheet

Разбор нескольких практических кейсов, используемых для захвата учетной записи (Account Takeover).

https://proglib.io/w/80fe47a3

#guide #pentest #bugbounty #security

SSRF: как искать, эксплуатировать и предотвращать.

https://proglib.io/w/4ffacf0b

Беспилотные авиационные системы — это будущее грузоперевозок. Современные технологии уже позволяют управлять судном дистанционно и программировать полет. Однако, в аэрологистике существует несколько барьеров, которые в полной мере не преодолены:

— низкая надежность беспилотных авиационных систем, способных поднять массу даже в диапазоне 15-30 кг;
— экономика перевозки даже по кратчайшему пути в 4 раза хуже автомобильной. В каждой точке посадки требуется квалифицированный экипаж и техническое обслуживание;
— инфраструктурные ограничения по размерам площадок в местах отправки-получения груза. Также требуется разработка средств точной посадки в любых погодных условия;
— ограничение по условиям использования воздушного пространства, требующее полета только по разрешению при отсутствии возможности безопасно выполнять совместные полеты с другими воздушными судами.

Каждый из четырех барьеров даже сам по себе является сложной технологической задачей, каждую из которой пора решать.

Следите за анонсами на сайте http://www.upgreat.one/?utm_source=tg или в сообществе в Фейсбук www.facebook.com/upgreatone

#appsec #bugbounty #pentest

Видеозаписи выступлений и слайды с конференции Swiss Cyber Storm.

#news #cve

Забавно за таким наблюдать — SimonByte создал сайт, который в реальном времени отслеживает тренды CVE в Твиттере.

https://proglib.io/w/def576cf

#tips #cloud #pentest #redteam #bugbounty #practice

На популярном ресурсе с полезными советами и приемами для пентестеров и охотников за ошибками HackTricks вышло новое руководство по тестированию Google Cloud Platform. В целом этот ресурс — must have для каждого безопасника.

#news

Очередная подборка ИБ-новостей от «Лаборатории Касперского» и Jet CSIRT.

#pentest

Разбор техники поиска 0-day уязвимости Race Condition в десктопном приложении под Windows.

https://proglib.io/w/b64b0361

#pentest #bugbounty #tips

Подборка советов и хитростей по пентесту веб-приложений, использующих API.

https://proglib.io/w/d29aede5

#pentest #bugbounty

Эксплуатируем Blind XXE через Excel-файл: https://proglib.io/w/155ba44c

#pentest #bugbounty #guide

Пошаговая методология поиска и эксплуатации уязвимостей в веб-приложениях на примере дырявого проекта OWASP Juice Shop Project.

https://proglib.io/w/188670a3

#bestpractices #pentest

Report URI Penetration Test 2021 — документ, описывающий результат пентеста инфраструктуры Report URI (report-uri.com и cdn.report-uri.com) от компании PenTest. Кстати, краткие выводы об отчете можно прочитать здесь. Сам отчёт наиболее интересен именно с точки зрения подхода и оформления, т. к. в 2021 году много ошибок было исправлено. Но можно ещё почитать такой же отчёт за 2020 год.

#book #redteam #pentest

Privilege Escalation Techniques: Learn the art of exploiting Windows and Linux systems (2021)

Автор: Alexis Ahmed

Книга представляет собой исчерпывающее руководство по повышения привилегий для систем Windows и Linux.

К теоретическим материалам прилагаются практические упражнения и сценарии в форме уязвимых сред и виртуальных машин.

#learning #pentest #review #bugbounty

Погружаемся в анализ безопасности исходных кодов двух open source LMS: Chamilo и Moodle.

https://proglib.io/w/52ca5066

#cve #bugbounty

Нельзя обижать исследователей безопасности низким вознаграждением, а то они опубликуют найденный 0-day в паблик.

https://proglib.io/w/ab8d1f0a