#news
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Албания ушла в оффлайн после кибератаки, срываем маски: новая кэш-атака. Security-новости от главреда Securitylab.ru
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Албания ушла в оффлайн после кибератаки, срываем маски: новая кэш-атака. Security-новости от главреда Securitylab.ru
Хабр
Security Week 2230: утечка данных через кабель SATA
Исследователь Мордехай Гури из израильского университета Бен-Гуриона опубликовал на прошлой неделе новую работу , расширяющую достаточно специфическую область знаний в сфере безопасности: методы кражи...
#pentest #redteam
Пентест внешнего периметра организации и проверка поведения сотрудников в онлайне/офлайне: история из опыта компании Бастион.
https://proglib.io/w/53a3c176
Пентест внешнего периметра организации и проверка поведения сотрудников в онлайне/офлайне: история из опыта компании Бастион.
https://proglib.io/w/53a3c176
Хабр
Бесконтрольный доступ и рассеянность: итоги одного пентеста
В этом проекте нет сложных или изящных атак — напротив, многие из них просты, даже примитивны. Эта история про то, как неплохо защищенная в техническом плане компания может пострадать из-за...
#writeup #bugbounty #pentest
Разбор простой, но не совсем очевидной SQL-инъекции в авторизационном токене.
https://proglib.io/w/3e0a875b
Разбор простой, но не совсем очевидной SQL-инъекции в авторизационном токене.
https://proglib.io/w/3e0a875b
Techncyber
Exploiting SQL Injection at Authorization token
Learn about a unique SQL Injection Finding with Authorization Headers Token
👍2
#security #appsec
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
Перевод стандарта OWASP Application Security Verification Standard 4.0:
🔗 Часть 1
🔗 Часть 2
Хабр
Перевод стандарта ASVS 4.0. Часть 1
Это первая статья из серии переводов стандарта Application Security Verification Standard 4.0, который был разработан OWASP в 2019 году. Стандарт состоит из 14 групп требований для программного...
👍5
#pentest #redteam
Разбор рабочего кейса использования XSS и iframe для угона аутентификационных данных пользователя.
https://proglib.io/w/6f8c155d
Разбор рабочего кейса использования XSS и iframe для угона аутентификационных данных пользователя.
https://proglib.io/w/6f8c155d
TrustedSec
Scraping Login Credentials With XSS
👍1🔥1
#pentest #bugbounty #CVE
📺 Vulnmachines — YouTube-канал одноименной платформы для обучения кибербезопасности.
Вас ждут разборы уязвимостей, обучение пентесту, веб-безопасности и многому другому.
https://proglib.io/w/720dd7bf
📺 Vulnmachines — YouTube-канал одноименной платформы для обучения кибербезопасности.
Вас ждут разборы уязвимостей, обучение пентесту, веб-безопасности и многому другому.
https://proglib.io/w/720dd7bf
👍5
#writeup #pentest #bugbounty
Алексей Соловьев из PT SWARM рассказывает, как добиться удаленного выполнения кода через XSS на примерах Evolution CMS, FUDForum и GitBucket.
https://proglib.io/w/aea44254
Алексей Соловьев из PT SWARM рассказывает, как добиться удаленного выполнения кода через XSS на примерах Evolution CMS, FUDForum и GitBucket.
https://proglib.io/w/aea44254
PT SWARM
Researching Open Source apps for XSS to RCE flaws
Cross-Site Scripting (XSS) is one of the most commonly encountered attacks in web applications. If an attacker can inject a JavaScript code into the application output, this can lead not only to cookie theft, redirection or phishing, but also in some cases…
👍2
#appsec #practice #security
Создание AppSec-пайплайна для «непрерывной видимости»
Когда в больших командах безопасники и разработчики масштабируются непропорционально, обычное предрелизное тестирование безопасности может быть неэффективным.
В статье описан подход команды Chargebee к созданию AppSec-пайплайна для непрерывного сканирования безопасности с использованием open source инструментов, что позволило обеспечить централизованную видимость общего состояния безопасности различных компонентов, связанных с продакшеном.
https://proglib.io/w/0129223a
Создание AppSec-пайплайна для «непрерывной видимости»
Когда в больших командах безопасники и разработчики масштабируются непропорционально, обычное предрелизное тестирование безопасности может быть неэффективным.
В статье описан подход команды Chargebee к созданию AppSec-пайплайна для непрерывного сканирования безопасности с использованием open source инструментов, что позволило обеспечить централизованную видимость общего состояния безопасности различных компонентов, связанных с продакшеном.
https://proglib.io/w/0129223a
Medium
Building AppSec Pipeline for Continuous Visibility
Most SaaS organizations need high-velocity engineering with multiple releases in a day where security & engineering teams are…
🔥2
#pentest #bugbounty
🔧 SwiftnessX — кроссплатформенный инструмент для пентестеров, который упрощает процесс ведения заметок и отслеживания целей.
https://proglib.io/w/2e59eedf
🔧 SwiftnessX — кроссплатформенный инструмент для пентестеров, который упрощает процесс ведения заметок и отслеживания целей.
https://proglib.io/w/2e59eedf
GitHub
GitHub - ehrishirajsharma/SwiftnessX: A cross-platform note-taking & target-tracking app for penetration testers.
A cross-platform note-taking & target-tracking app for penetration testers. - GitHub - ehrishirajsharma/SwiftnessX: A cross-platform note-taking & target-tracking app for penetration testers.
👍2
#writeup #pentest #bugbounty #redteam
0xdf, архитектор в HackTheBox и CTF-наркоман, публикует актуальные разборы лабораторий в своем блоге. Must have для начинающих и профи.
https://proglib.io/w/f2be74fc
0xdf, архитектор в HackTheBox и CTF-наркоман, публикует актуальные разборы лабораторий в своем блоге. Must have для начинающих и профи.
https://proglib.io/w/f2be74fc
👍4
#bugbounty #pentest #mobile
Цикл статей про аудит безопасности iOS-приложений:
🔗 Готовим iOS-устройство к пентесту
🔗 Анализ iOS-приложений
Цикл статей про аудит безопасности iOS-приложений:
🔗 Готовим iOS-устройство к пентесту
🔗 Анализ iOS-приложений
Хабр
Готовим iOS-устройство к пентесту
К Digital Security часто обращаются за аудитом iOS-приложений, поэтому мы решили сделать цикл статей про наш подход в этой области. И в первой из них расскажем о выборе и подготовке устройства для...
👍5🔥1
#OSINT #tools
Обзор ресурсов и инструментов для проведения и повышения эффективности OSINT.
https://proglib.io/w/c0b6c1d8
Обзор ресурсов и инструментов для проведения и повышения эффективности OSINT.
https://proglib.io/w/c0b6c1d8
C:\Users\Escafl0wn3
Useful sites and tools for an Investigation
OSINT Lets say that we are investigating a company as a part of an assessment, during this recon process we must use anything available on internet (Surface Web, DeepWeb or DarkWeb). This includes …
🔥2👍1
#writeup #pentest #CVE
Подробный разбор не самой свежей CVE-2011-2371 в Firefox, но отличное введение в эксплуатацию уязвимости переполнения кучи в браузерах.
https://proglib.io/w/a0aac182
Подробный разбор не самой свежей CVE-2011-2371 в Firefox, но отличное введение в эксплуатацию уязвимости переполнения кучи в браузерах.
https://proglib.io/w/a0aac182
VoidSec
Browser Exploitation: Firefox Integer Overflow - CVE-2011-2371 - VoidSec
Understanding the root cause and developing an exploiting for an Integer Overflow vulnerability in Firefox browser (CVE-2011-2371).
#redteam #practice
Подделка стеков вызовов: разбор не самого нового, но эффективного способа обхода решений класса EDR.
https://proglib.io/w/f4b1965c
Подделка стеков вызовов: разбор не самого нового, но эффективного способа обхода решений класса EDR.
https://proglib.io/w/f4b1965c
👍3
#writeup #pentest #bugbounty
Подробный разбор CVE-2022-35650 в Moodle, которая приводит к риску произвольного чтения файла.
https://proglib.io/w/4eec113c
Подробный разбор CVE-2022-35650 в Moodle, которая приводит к риску произвольного чтения файла.
https://proglib.io/w/4eec113c
👍4
#career #reverse #infosec
Алексей Вишняков (руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies) и его коллеги подробно рассказывают о том, чем занимаются вирусные аналитики, помимо реверс-инжиниринга.
https://proglib.io/w/35069bce
Алексей Вишняков (руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies) и его коллеги подробно рассказывают о том, чем занимаются вирусные аналитики, помимо реверс-инжиниринга.
https://proglib.io/w/35069bce
Хабр
«Не только реверс, но и воплощение знаний в коде, инструментах и плагинах»: как работается вирусным аналитиком в PT ESC
И снова привет, Хабр! Это Алексей Вишняков, руководитель отдела обнаружения вредоносного ПО экспертного центра безопасности Positive Technologies ( PT Expert Security Center , PT ESC). Сегодня вас...
👍2
#news
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Big Brother следит за VR-пользователями, Взлом оператора связи Канады. Security-новости от главреда Securitylab.ru
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Big Brother следит за VR-пользователями, Взлом оператора связи Канады. Security-новости от главреда Securitylab.ru
Хабр
Security Week 2231: UEFI-руткит CosmicStrand
На прошлой неделе исследователи «Лаборатории Касперского» опубликовали подробный отчет о новом рутките CosmicStrand. Было проанализировано несколько сэмплов вредоносного кода, извлеченных из...
#tools #pentest #bugbounty #recon
Подробный обзор функционала и кейсов использования менее известных инструментов ProjectDiscovery.
https://proglib.io/w/abd8ee93
Подробный обзор функционала и кейсов использования менее известных инструментов ProjectDiscovery.
https://proglib.io/w/abd8ee93
ProjectDiscovery.io | Blog
ProjectDiscovery's Best Kept Secrets
A tour of ProjectDiscovery's less-known public tools, and how to use them by @pry0cc
Introduction
For those unaware, ProjectDiscovery is a group of talented hackers and creators that have massively disrupted the offensive tooling industry by creating tooling…
Introduction
For those unaware, ProjectDiscovery is a group of talented hackers and creators that have massively disrupted the offensive tooling industry by creating tooling…
👍2
#bugbounty #pentest
Framing без iframe’ов: несколько новых способов, которые позволяют объединить другие атаки или обойти CSP.
https://proglib.io/w/ac0cef12
Framing без iframe’ов: несколько новых способов, которые позволяют объединить другие атаки или обойти CSP.
https://proglib.io/w/ac0cef12
PortSwigger Research
Framing without iframes
Whilst testing for XSS vectors, we found some new ways of framing a web site that don't use the iframe element. Naturally, we've updated our XSS cheat sheet to document them. We discovered that Chrome