Forwarded from Библиотека программиста | программирование, кодинг, разработка
📌 Если вы всегда хотите быть в курсе книжных новинок, обновлений и другой полезной информации, касающейся вашего языка или области программирования, вы можете начать читать один из наших каналов, где мы каждый день публикуем учебные материалы для разработчиков разного уровня.
😂 Канал с мемами: t.me/itmemlib
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
🎓 Школа Proglib Academy: https://t.me/proglib_academy
📺 Канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.me/proglibrary
Библиотека хакера: t.me/hackproglib
Go: t.me/goproglib
C\C++: t.me/cppproglib
PHP: t.me/phpproglib
Frontend: t.me/frontendproglib
Python: t.me/pyproglib
Mobile: t.me/mobileproglib
Data Science: t.me/dsproglib
Java: t.me/javaproglib
C#: t.me/csharpproglib
Devops: t.me/devopsslib
Тестирование: t.me/testerlib
Бот с IT-вакансиями: t.me/proglib_job_bot
📺 Канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.me/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.me/event_listener_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Библиотека Go-разработчика | Golang
Обзор уязвимости в Go-библиотеке golang/net/html, которая может привести к XSS (Cross-Site Scripting). Автор получил за нее 3 133 доллара от Google.
🌐 Смотреть
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
$3,133.70 XSS in golang's net/html library - My first Google bug bounty
📧 Subscribe to BBRE Premium: https://bbre.dev/premium
✉️ Sign up for the mailing list: https://bbre.dev/nl
📣 Follow me on twitter: https://bbre.dev/tw
This video is a writeup of a vulnerability I found in Google's golang/net/html library that could lead…
✉️ Sign up for the mailing list: https://bbre.dev/nl
📣 Follow me on twitter: https://bbre.dev/tw
This video is a writeup of a vulnerability I found in Google's golang/net/html library that could lead…
#forensic #practice
Коллекция руководств по цифровой криминалистике: от компьютерной и сетевой до криминалистики мобильных устройств и баз данных.
https://github.com/mikeroyal/Digital-Forensics-Guide
Коллекция руководств по цифровой криминалистике: от компьютерной и сетевой до криминалистики мобильных устройств и баз данных.
https://github.com/mikeroyal/Digital-Forensics-Guide
GitHub
GitHub - mikeroyal/Digital-Forensics-Guide: Digital Forensics Guide. Learn all about Digital Forensics, Computer Forensics, Mobile…
Digital Forensics Guide. Learn all about Digital Forensics, Computer Forensics, Mobile device Forensics, Network Forensics, and Database Forensics. - mikeroyal/Digital-Forensics-Guide
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub Security Lab
GHSL-2022-059_GHSL-2022-060: SQL injection vulnerabilities in Owncloud Android app - CVE-2023-24804, CVE-2023-23948
The Owncloud Android app uses content providers to manage its data. The provider FileContentProvider has SQL injection vulnerabilities that allow malicious applications or users in the same device to obtain internal information of the app. The app also handles…
👍1
#practice #pentest #bugbounty
Бывало такое, что нашли уязвимость, но не получается ее докрутить и автоматизировать? Одним словом, написать код для эксплуатации уязвимости (эксплойт). Ловите репозиторий с советами, которые помогут в этом нелегком деле.
https://github.com/rizemon/exploit-writing-for-oswe
Бывало такое, что нашли уязвимость, но не получается ее докрутить и автоматизировать? Одним словом, написать код для эксплуатации уязвимости (эксплойт). Ловите репозиторий с советами, которые помогут в этом нелегком деле.
https://github.com/rizemon/exploit-writing-for-oswe
GitHub
GitHub - rizemon/exploit-writing-for-oswe: Tips on how to write exploit scripts (faster!)
Tips on how to write exploit scripts (faster!). Contribute to rizemon/exploit-writing-for-oswe development by creating an account on GitHub.
👍2
#security #appsec
Open Software Supply Chain
Attack Reference (OSC&R) — как MITTRE ATT&CK, только эта матрица предназначена для атак на цепочки поставок ПО.
Это комплексный, систематический и действенный способ понять поведение и методы злоумышленников в отношении цепочки поставок ПО. Важно отметить, что ссылки пока не кликабельные.
https://pbom.dev/
Open Software Supply Chain
Attack Reference (OSC&R) — как MITTRE ATT&CK, только эта матрица предназначена для атак на цепочки поставок ПО.
Это комплексный, систематический и действенный способ понять поведение и методы злоумышленников в отношении цепочки поставок ПО. Важно отметить, что ссылки пока не кликабельные.
https://pbom.dev/
pbom.dev
Home - pbom.dev
👍5
#tools #recon
Подробное руководство по subfinder: от начального до продвинутого уровня.
✅ Установка
✅ Параметры вывода
✅ Дополнительные параметры и многое другое
Читать
Подробное руководство по subfinder: от начального до продвинутого уровня.
✅ Установка
✅ Параметры вывода
✅ Дополнительные параметры и многое другое
Читать
ProjectDiscovery Blog
An in-depth guide to subfinder: beginner to advanced
In the era of application security, bug bounties have evolved and become mainstream for hackers around the globe. Hackers are constantly looking for new tactics to automate the process of reconnaissance and find different types of vulnerabilities. One of…
👍3
#bugbounty #pentest
Алексей Соловьев из PT SWARM разбирает цепочку багов в MyBB <= 1.8.31, которые приводят к RCE.
Читать
Алексей Соловьев из PT SWARM разбирает цепочку багов в MyBB <= 1.8.31, которые приводят к RCE.
Читать
PT SWARM
MyBB <= 1.8.31: Remote Code Execution Chain
MyBB is one seriously popular type of open-source forum software. However, even a popular tool can contain bugs or even bug chains that can lead to the compromise of an entire system. In this article, we’ll go over one such chain that we found. Visual editor…
#pentest #bugbounty #writeup
Jason Haddix тут взломал (конечно, в ходе пентеста) одну контору, в результате чего получил полный доступ к электронной почте каждого сотрудника и к исходным кодам всех приложений. Примечательно, что началось все с анализа мобильного приложения.
В треде Jhaddix рассказывает, как ему удалось достричь таких успехов:
🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)
Jason Haddix тут взломал (конечно, в ходе пентеста) одну контору, в результате чего получил полный доступ к электронной почте каждого сотрудника и к исходным кодам всех приложений. Примечательно, что началось все с анализа мобильного приложения.
В треде Jhaddix рассказывает, как ему удалось достричь таких успехов:
🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)
Threadreaderapp
Thread by @Jhaddix on Thread Reader App
@Jhaddix: 🐻 Hacking a Search / Cloud Company 🐻 I once took over a MAJOR foreign search/cloud company. I had full access to every employees email & full source code for all their apps. Here's how it...…
🎉🎊Тем временем нас уже больше восеми тысяч. Напишите в комментариях, что вы хотели бы добавить на канал 🔽. Или все устраивает и продолжать в том же духе?
👍7🔥3🤔1
#news
Очередная подборка новостей для этичного хакера:
🔎 Security week от «Лаборатории Касперского»
🌐 Взлом за сожжение Корана, Путин сказал: да, роботы будут убивать: Security-новости от секлаб
📊 Программа вознаграждения за уязвимости Google: итоги 2022 года
Очередная подборка новостей для этичного хакера:
🔎 Security week от «Лаборатории Касперского»
🌐 Взлом за сожжение Корана, Путин сказал: да, роботы будут убивать: Security-новости от секлаб
📊 Программа вознаграждения за уязвимости Google: итоги 2022 года
👍1
#writeup #pentest
Пожалуй, один из самых простых багов, когда пользовательский ввод попадает на функции вроде system/exec/shell_exec. Но без качественной разведки RCE найти вероятнее всего не удалось бы.
Узнайте, как забытый локальный Git-репозиторий может привести к компрометации сервера.
Читать
Пожалуй, один из самых простых багов, когда пользовательский ввод попадает на функции вроде system/exec/shell_exec. Но без качественной разведки RCE найти вероятнее всего не удалось бы.
Узнайте, как забытый локальный Git-репозиторий может привести к компрометации сервера.
Читать
Medium
$10.000 bounty for exposed .git to RCE
Recently i participated in one of the private bugbounty programs where I managed to find RCE through the open .git directory on four hosts…
👍3
#pentest #bugbounty #tip by PT SWARM
Обход аутентификации может быть очень прост, если знать особенности конкретных версий используемого фреймворка.
Обход аутентификации может быть очень прост, если знать особенности конкретных версий используемого фреймворка.
👍4
#pentest #bugbounty #writeup
SQL-инъекцию зачастую сложно раскрутить до RCE, но у автора этого руководства получилось.
Читать
SQL-инъекцию зачастую сложно раскрутить до RCE, но у автора этого руководства получилось.
Читать
Medium
SQL Injection + RCE | How I got a shell on my university website
Hi wonderful hackers.
👍4
#security #pentest #bugbounty
OWASP API Security 2023:
🗄 Broken object level authorization
🗄 Broken authentication
🗄 Broken object property level authorization
🗄 Unrestricted resource consumption
🗄 Broken function level authorization
🗄 Server side request forgery
🗄 Security misconfiguration
🗄 Lack of protection from authentication threats
🗄 Improper assets management
🗄 Unsafe consumption of APIs
OWASP API Security 2023:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5