#pentest #bugbounty #writeup
Jason Haddix тут взломал (конечно, в ходе пентеста) одну контору, в результате чего получил полный доступ к электронной почте каждого сотрудника и к исходным кодам всех приложений. Примечательно, что началось все с анализа мобильного приложения.
В треде Jhaddix рассказывает, как ему удалось достричь таких успехов:
🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)
Jason Haddix тут взломал (конечно, в ходе пентеста) одну контору, в результате чего получил полный доступ к электронной почте каждого сотрудника и к исходным кодам всех приложений. Примечательно, что началось все с анализа мобильного приложения.
В треде Jhaddix рассказывает, как ему удалось достричь таких успехов:
🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)
Threadreaderapp
Thread by @Jhaddix on Thread Reader App
@Jhaddix: 🐻 Hacking a Search / Cloud Company 🐻 I once took over a MAJOR foreign search/cloud company. I had full access to every employees email & full source code for all their apps. Here's how it...…
🎉🎊Тем временем нас уже больше восеми тысяч. Напишите в комментариях, что вы хотели бы добавить на канал 🔽. Или все устраивает и продолжать в том же духе?
👍7🔥3🤔1
#news
Очередная подборка новостей для этичного хакера:
🔎 Security week от «Лаборатории Касперского»
🌐 Взлом за сожжение Корана, Путин сказал: да, роботы будут убивать: Security-новости от секлаб
📊 Программа вознаграждения за уязвимости Google: итоги 2022 года
Очередная подборка новостей для этичного хакера:
🔎 Security week от «Лаборатории Касперского»
🌐 Взлом за сожжение Корана, Путин сказал: да, роботы будут убивать: Security-новости от секлаб
📊 Программа вознаграждения за уязвимости Google: итоги 2022 года
👍1
#writeup #pentest
Пожалуй, один из самых простых багов, когда пользовательский ввод попадает на функции вроде system/exec/shell_exec. Но без качественной разведки RCE найти вероятнее всего не удалось бы.
Узнайте, как забытый локальный Git-репозиторий может привести к компрометации сервера.
Читать
Пожалуй, один из самых простых багов, когда пользовательский ввод попадает на функции вроде system/exec/shell_exec. Но без качественной разведки RCE найти вероятнее всего не удалось бы.
Узнайте, как забытый локальный Git-репозиторий может привести к компрометации сервера.
Читать
Medium
$10.000 bounty for exposed .git to RCE
Recently i participated in one of the private bugbounty programs where I managed to find RCE through the open .git directory on four hosts…
👍3
#pentest #bugbounty #tip by PT SWARM
Обход аутентификации может быть очень прост, если знать особенности конкретных версий используемого фреймворка.
Обход аутентификации может быть очень прост, если знать особенности конкретных версий используемого фреймворка.
👍4
#pentest #bugbounty #writeup
SQL-инъекцию зачастую сложно раскрутить до RCE, но у автора этого руководства получилось.
Читать
SQL-инъекцию зачастую сложно раскрутить до RCE, но у автора этого руководства получилось.
Читать
Medium
SQL Injection + RCE | How I got a shell on my university website
Hi wonderful hackers.
👍4
#security #pentest #bugbounty
OWASP API Security 2023:
🗄 Broken object level authorization
🗄 Broken authentication
🗄 Broken object property level authorization
🗄 Unrestricted resource consumption
🗄 Broken function level authorization
🗄 Server side request forgery
🗄 Security misconfiguration
🗄 Lack of protection from authentication threats
🗄 Improper assets management
🗄 Unsafe consumption of APIs
OWASP API Security 2023:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
#news
Очередная подборка новостей для этичного хакера:
🔎 Security week от «Лаборатории Касперского»
🔎 «Хакер»: самые важные события в мире инфосека за февраль
🔎 (Не) безопасный дайджест от SearchInform: коварные QR, утечки на миллионы и «откровение» инсайдера
🌐 Играет «Кино», горит Москва, кидалово на Бали, санкции кибердеду, хакеры атакуют: Security-новости от секлаб
📊 В 2022 году хакеры взламывали T-Mobile более 100 раз
Очередная подборка новостей для этичного хакера:
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Security Week 2310: безопасность квадрокоптеров DJI
На прошлой неделе исследователи из Рурского университета в Бохуме опубликовали научную работу , посвященную безопасности квадрокоптеров DJI. Анализ устройств проводился при помощи реверс-инжиниринга...
👍5
#redteam #OSINT #recon
Этичный хакинг с Kali Linux
Серия статей для активных пользователей Kali Linux и начинающих белых хакеров:
1. Вводная часть. Подготовка рабочего стенда.
2. Фазы атаки.
3. Footprinting. Разведка и сбор информации.
4. Сканирование и типы сканирования. Погружение в nmap.
5. Методы получения доступа к системе.
6. Пост-эксплуатация. Способы повышения привилегий.
7. Пост-эксплуатация. Закрепление в системе.
8. Методы и средства внешней разведки.
Этичный хакинг с Kali Linux
Серия статей для активных пользователей Kali Linux и начинающих белых хакеров:
1. Вводная часть. Подготовка рабочего стенда.
2. Фазы атаки.
3. Footprinting. Разведка и сбор информации.
4. Сканирование и типы сканирования. Погружение в nmap.
5. Методы получения доступа к системе.
6. Пост-эксплуатация. Способы повышения привилегий.
7. Пост-эксплуатация. Закрепление в системе.
8. Методы и средства внешней разведки.
Хабр
Приручение черного дракона. Этичный хакинг с Kali Linux. Часть 1. Подготовка рабочего стенда
Приветствую тебя, дорогой читатель в самой первой вводной части серии статей «Приручение черного дракона. Этичный хакинг с Kali Linux». Полный список статей прилагается ниже, и будет дополняться по...
❤4👍3🔥2🤔1
Команда «Библиотеки программиста» поздравляет девушек с праздником и желает равных зарплат, безопасности и простого человеческого счастья. 💐 🍾
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉11😁2
#pentest #bugbounty #learning
Руководство по тестированию уязвимостей, связанных с неправильной настройкой Cross-Origin Resource Sharing (CORS).
Читать
Руководство по тестированию уязвимостей, связанных с неправильной настройкой Cross-Origin Resource Sharing (CORS).
Читать
Medium
Cross-Origin Resource Sharing (CORS) Testing Guide
Identifying CORS Vulnerabilities: Common Attack Vectors and Mitigation Strategies
👍4
#pentest #bugbounty #tip by PT SWARM
Интересный совет от команды PT SWARM по увеличению критичности обнаруженной XSS.
Интересный совет от команды PT SWARM по увеличению критичности обнаруженной XSS.
👍7
#ctf #writeup #pentest #bugbounty #reverse #redteam
Настоящая кладезь знаний для тех, кто занимается практической безопасностью. Здесь вы увидите полезные видеоуроки по прохождению CTF, эксплуатации бинарных уязвимостей, пентест, анализ малвари, разработку и многое другое.
📺 YouTube-канал + Репозиторий
Настоящая кладезь знаний для тех, кто занимается практической безопасностью. Здесь вы увидите полезные видеоуроки по прохождению CTF, эксплуатации бинарных уязвимостей, пентест, анализ малвари, разработку и многое другое.
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - Crypto-Cat/CTF: CTF challenge (mostly pwn) files, scripts etc
CTF challenge (mostly pwn) files, scripts etc. Contribute to Crypto-Cat/CTF development by creating an account on GitHub.
👍2🔥2
Please open Telegram to view this post
VIEW IN TELEGRAM
httpd.apache.org
Apache HTTP Server 2.4 vulnerabilities - The Apache HTTP Server Project
🤔1
#redteam
Многие из вас наверняка знают несколько способов дампа процесса Lsass в Windows. Кто-то может быть знает больше пяти способов, но поверьте, их куда больше.
Читать
Многие из вас наверняка знают несколько способов дампа процесса Lsass в Windows. Кто-то может быть знает больше пяти способов, но поверьте, их куда больше.
Читать
Threads
چودھری صائم (@saim_045) on Threads
Your cybersecurity brand deserves a name that means business!
Get RedTeamRecipe.com now! 🔒💻
Ideal for ethical hacking, IT security, and cybersecurity training.
Claim it today!...
Get RedTeamRecipe.com now! 🔒💻
Ideal for ethical hacking, IT security, and cybersecurity training.
Claim it today!...
🔥3⚡2
iOS_Hacking_Guide.pdf
10.6 MB
#mobile #pentest
Hacking iOS Applications: a detailed testing guide
Книга не самая свежая, но для погружения в тему отлично подойдет.
Hacking iOS Applications: a detailed testing guide
Книга не самая свежая, но для погружения в тему отлично подойдет.
👍3🤔1
#writeup #bugbounty #pentest
$5,000 за доступ к панели администратора через IDOR
Автору этого бага удалось объединить две ошибки и захватить любую учетную запись. Детали и советы — под катом.
🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)
$5,000 за доступ к панели администратора через IDOR
Автору этого бага удалось объединить две ошибки и захватить любую учетную запись. Детали и советы — под катом.
🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)
Threadreaderapp
Thread by @silentgh00st on Thread Reader App
@silentgh00st: Here is how I chained two bugs to exploit a UUID based IDOR and gained access to admin panel. 🧵THREAD🧵 1. How I knew that the target uses the same panel for both (normal users...
👍2🙏1