Команда GitLab выпустила патч, который закрывает уязвимость типа path traversal

Эксплуатация CVE-2023-2825 может привести к раскрытию конфиденциальных данных, включая код проприетарного ПО, учетные данные пользователя, токены, файлы и так далее.

И это в 2023 году, когда все path traversal уже переэксплуатировали... В общем, обновляйтесь до GitLab Community Edition (CE) / Enterprise Edition (EE) 16.0.1.

#CVE #bugbounty #pentest #news

Эй, хакеры! Напишите в комментариях самый крутой баг, который вы когда-либо нашли. И если получили вознаграждение, то сколько 💰💰💰? ⬇️

Positive Research 2023: сборник исследований по практической безопасности

▫️Топ–10 самых громких атак 2022 года
▫️Государственные организации — цель No 1
▫️Недопустимые события для госучреждений: реальные примеры
▫️Атаки на пользователей: масштабные утечки данных
▫️Кто и как атакует российские организации
▫️Уязвимости ради безопасности. Результативная стратегия управления уязвимостями

#research #hacking

Собрали 5 лучших вузов для программистов в 2023-2024 📚

1. Университет Иннополис
Есть возможность получения 100% гранта, 100% трудоустройство выпускников.
Средний проходной балл ЕГЭ (2022): 99,0 (бюджет)
Стоимость платного обучения: от 800 000 рублей в год

2. Московский физико–технический институт
Есть собственная система подготовки, совмещающая обучение студентов с их практикой в компаниях–партнерах университета.
Средний проходной балл ЕГЭ (2022): 97,1 (бюджет) и 93,8 (контракт)
Стоимость платного обучения: от 389 000 рублей в год

3. Национальный исследовательский университет «Высшая школа экономики»
Используют модель Major–Minor, что позволяет составить индивидуальный план обучения для каждого студента.
Средний проходной балл ЕГЭ (2022): 95,1 (бюджет) и 83,9 (контракт)
Стоимость платного обучения: от 320 000 рублей в год

4. Национальный исследовательский университет ИТМО
В ИТМО используются специализированные акселераторы, бизнес-инкубатор и Инжиниринговый центр «M2M телемеханика и приборостроение».
Средний проходной балл ЕГЭ (2022): 93,7 (бюджет) и 78,1 (контракт)
Стоимость платного обучения: от 289 000 рублей в год

5. Национальный исследовательский ядерный университет «МИФИ»
Сотрудничают с международными компаниями, устраивают стажировки за рубежом.
Средний проходной балл ЕГЭ (2022): 91,4 (бюджет) и 77,0 (контракт)
Стоимость платного обучения: от 80 400 рублей в год

➡️Полную подборку из 33 вузов можно почитать тут (зеркало).

🎬 Кинопятница: 33 фильма о хакерах

Собрали для вас подборку фильмов о хакерах. За сегодня, конечно, все не пересмотришь, а вот за выходные... Ниже — наиболее свежие по категориям, остальные — в статье.

Доки
🍿 Cambridge Analytica. Скандальный взлом (2019) – Кинопоиск: 6.5, IMDB: 7.0
🍿 Мы крадем секреты: История WikiLeaks (2013) – Кинопоиск: 7.4, IMDB: 6.9
🍿 Интернет-мальчик: История Аарона Шварца (2014) – Кинопоиск: 7.8, IMDB: 8.0
🍿 Citizenfour: Правда Сноудена (2014) – Кинопоиск: 7.3, IMDB: 8.0

Триллеры
🍿 Сноуден (2016) – Кинопоиск: 7.0, IMDB: 7.3
🍿 Кто я (2014) – Кинопоиск: 7.4, IMDB: 7.5

Научная фантастика
🍿 Особое мнение (2002) – Кинопоиск: , IMDB: 7.6

Драма
🍿 Реалити (2023) – IMDB: 6.7

Анимация
🍿 Призрак в доспехах (1995) – Кинопоиск: 8.0, IMDB: 7.9

Комедии
🍿 Офисное пространство (1999) – Кинопоиск: 6.8, IMDB: 7.6

#досуг

Server side prototype pollution: погружаемся в мир багов типа prototype pollution, сосредоточившись на эксплуатации серверной стороны.

Читать

#pentest #bugbounty #practice

Простой способ автоматизировать разведку с помощью нескольких инструментов. Правда, в httpx тоже завезли возможность делать скриншоты, но это уже вкусовщина 😉.

#bugbounty #tips #recon

Отобранная по категориям коллекция инструментов для веб-разведки и OSINT: домены и сети, личная информация и цифровые следы электронной почты, а также незаменимые Google-дорки.

Читать

#tools #recon #OSINT

Подборка ресурсов для обучения, которая поможет сформировать прочный фундамент в поиске багов и пентесте: начинающему белому хакеру на заметку

Подборка проверялась автором в 2021 году, но в большинстве своем актуальна и сейчас.

Читать

#learning #bugbounty #pentest

Нашли уязвимость LFI, но нет идей для дальнейших сценариев эксплуатации? Что ж, попробуйте использовать Remote File Inclusion.🔥

#tips #bugbounty #pentest

Раскручиваем arbitrary file read до RCE в веб-приложении на flask: как с помощью уязвимости чтения файлов получить доступ к интерактивной консоли Python.

Читать

#practice #pentest #bugbounty

Есть здесь те, кто участвовал в киберфестивале Positive Hack Days 12? Поделитесь впечатлениями. Что нового узнали? Как вам Standoff?

От произвольного перенаправления до XSS: пример отраженной XSS в эндпоинте выхода Ellucian Ethos Identity CAS с обходом WAF.

Читать

#writeup #bugbounty #pentest

Какие только не придумают требования к паролям для усложнения жизни злоумышленникам, вот только рост вычислительной мощности CPU и GPU идет на шаг впереди. А какие самые экстравагантные требования к генерации паролей видели вы? Ждем ответы в комментариях.👇

#security

Эволюция уязвимостей в приложениях для Android: как эволюционировали уязвимости мобильных приложений, что на это влияло, какие уязвимости актуальны сейчас и какие ждут нас в будущем.

Читать

#mobile #pentest

100 советов багхантеру: почти все нетехнические, но поверьте, что-то в них есть.

🧵Читать в Твиттере
🧵Читать в Thread Reader App (если Твиттер не открывается)

#pentest #bugbounty #tips