Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
12.6K subscribers
1.9K photos
99 videos
166 files
2.93K links
Все самое полезное по инфобезу в одном канале.

Список наших каналов: https://t.me/proglibrary/9197

Для обратной связи: @proglibrary_feeedback_bot

По рекламе: @proglib_adv
РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf
Download Telegram
#hacking #writeup

💰Взлом Binance Smart Chain Token Bridge

Андрей Бачурин из PT SWARM занимается исследованием безопасности блокчейна — пожалуй, одной из самых сложных тем в ИБ. В статье он рассказывает технические аспекты и сценарий атаки на BSC Token Hub bridge, который принадлежит криптовалютной бирже Binance.

Это был один из крупнейших взломов криптовалюты. BSC обеспечивает взаимодействие между блокчейном Binance Beacon Chain, используемым Binance для децентрализованного управления, и Binance Smart Chain, блокчейном, совместимым с EVM, который используется для создания различных децентрализованных приложений. Кстати, хакеры тогда вывели 586 миллионов долларов.

Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
👍71
Forwarded from Библиотека программиста | программирование, кодинг, разработка
📌 Если вы всегда хотите быть в курсе книжных новинок, обновлений и другой полезной информации, касающейся вашего языка или области программирования, вы можете начать читать один из наших каналов, где мы каждый день публикуем учебные материалы для разработчиков разного уровня.

😂 Канал с мемами: t.me/itmemlib

👨‍💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot

🎓 Школа Proglib Academy: https://t.me/proglib_academy


📺 Канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста

📄 Лента в Дзен: https://zen.yandex.ru/proglib


🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.

Подписывайтесь: t.me/event_listener_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
#writeup #pentest

SQL-инъекция в Android-приложении Owncloud

Разбор уязвимости, которая не так часто встречается в мобильных приложениях.

Почему это интересно? Да потому что большинство компаний в своих Bug Bounty программах представляют свои мобильные приложения для анализа.😉👇

Читать
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
#practice #pentest #bugbounty

Бывало такое, что нашли уязвимость, но не получается ее докрутить и автоматизировать? Одним словом, написать код для эксплуатации уязвимости (эксплойт). Ловите репозиторий с советами, которые помогут в этом нелегком деле.

https://github.com/rizemon/exploit-writing-for-oswe
👍2
#security #appsec

Open Software Supply Chain
Attack Reference
(OSC&R) — как MITTRE ATT&CK, только эта матрица предназначена для атак на цепочки поставок ПО.

Это комплексный, систематический и действенный способ понять поведение и методы злоумышленников в отношении цепочки поставок ПО. Важно отметить, что ссылки пока не кликабельные.

https://pbom.dev/
👍5
Pentesting_web_checklist.pdf
581.2 KB
#pentest #tools

Чек-лист для начинающих пентестеров со ссылками на инструменты
👍9
#pentest #bugbounty #writeup

Jason Haddix тут взломал (конечно, в ходе пентеста) одну контору, в результате чего получил полный доступ к электронной почте каждого сотрудника и к исходным кодам всех приложений. Примечательно, что началось все с анализа мобильного приложения.

В треде Jhaddix рассказывает, как ему удалось достричь таких успехов:

🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)
🎉🎊Тем временем нас уже больше восеми тысяч. Напишите в комментариях, что вы хотели бы добавить на канал 🔽. Или все устраивает и продолжать в том же духе?
👍7🔥3🤔1
#news

Очередная подборка новостей для этичного хакера:

🔎 Security week от «Лаборатории Касперского»
🌐 Взлом за сожжение Корана, Путин сказал: да, роботы будут убивать: Security-новости от секлаб
📊 Программа вознаграждения за уязвимости Google: итоги 2022 года
👍1
#writeup #pentest

Пожалуй, один из самых простых багов, когда пользовательский ввод попадает на функции вроде system/exec/shell_exec. Но без качественной разведки RCE найти вероятнее всего не удалось бы.

Узнайте, как забытый локальный Git-репозиторий может привести к компрометации сервера.

Читать
👍3
#pentest #bugbounty #tip by PT SWARM

Обход аутентификации может быть очень прост, если знать особенности конкретных версий используемого фреймворка.
👍4
#pentest #bugbounty #writeup

SQL-инъекцию зачастую сложно раскрутить до RCE, но у автора этого руководства получилось.

Читать
👍4