Forwarded from Библиотека программиста | программирование, кодинг, разработка
🌵 Мексиканская перестрелка: какую IT-профессию выбрать джуну в 2023 году, чтобы зарабатывать $100кк в наносек
В этой статье мы рассмотрим несколько перспективных IT-направлений, которые приблизят вас к заветным цифрам на вашем банковском счете.
🔗 Основной сайт
🔗 Зеркало
В этой статье мы рассмотрим несколько перспективных IT-направлений, которые приблизят вас к заветным цифрам на вашем банковском счете.
🔗 Основной сайт
🔗 Зеркало
👍8🙏2🔥1
Обход CSP через DOM clobbering
Предположим, вы нашли HTML-инъекцию, но исследуемое веб-приложение защищено с помощью CSP. Еще не все потеряно, ведь на каждую технику защиты есть метод обхода. Это не всегда работает, но знать об этих методах однозначно стоит.
Читать
Предположим, вы нашли HTML-инъекцию, но исследуемое веб-приложение защищено с помощью CSP. Еще не все потеряно, ведь на каждую технику защиты есть метод обхода. Это не всегда работает, но знать об этих методах однозначно стоит.
Читать
PortSwigger Research
Bypassing CSP via DOM clobbering
You might have found HTML injection, but unfortunately identified that the site is protected with CSP. All is not lost, it might be possible to bypass CSP using DOM clobbering, which you can now detec
💭 Эй, хакеры. Помните свой самый первый баг? Это было что-то простое или сразу критическая server-side уязвимость? Ждем в комментариях 👇
🙏1
Очередная подборка новостей для этичного хакера:
▫️ Опубликовано исследование о серьезной уязвимости в ПО для реестров доменных имен в таких зонах, как .ai, .ms и .td.
Уязвимость в обработчике XML-запросов позволяла перехватить контроль над целой доменной зоной и, например, менять записи для существующих доменных имен / создавать новые.
▫️ Из чего состоит Malware-as-a-Service: в новых публикациях эксперты «Лаборатории Касперского» описывают сервисы malware-as-a-service и анализируют вредоносное ПО для кражи криптовалют
▫️ Представлен релиз Kali Linux 2023.2 (Hyper-V & PipeWire)
▫️ ИБ-эксперт под ником Sh1ttyKids продемонстрировал способ выявления реальных IP-адресов серверов Tor
▫️ Критическая уязвимость в MOVEit Transfer наделала много шума
▫️ Хакеры выкладывают вредоносное ПО на GitHub, выдавая ее за эксплоиты: не открытие, но всегда надо проверять перед запуском
🌐 США колдуют с НЛО | Сисадминам придёт конец | Стивен Хокинг оказался прав: security-новости от главреда секлаб
#news
▫️ Опубликовано исследование о серьезной уязвимости в ПО для реестров доменных имен в таких зонах, как .ai, .ms и .td.
Уязвимость в обработчике XML-запросов позволяла перехватить контроль над целой доменной зоной и, например, менять записи для существующих доменных имен / создавать новые.
▫️ Из чего состоит Malware-as-a-Service: в новых публикациях эксперты «Лаборатории Касперского» описывают сервисы malware-as-a-service и анализируют вредоносное ПО для кражи криптовалют
▫️ Представлен релиз Kali Linux 2023.2 (Hyper-V & PipeWire)
▫️ ИБ-эксперт под ником Sh1ttyKids продемонстрировал способ выявления реальных IP-адресов серверов Tor
▫️ Критическая уязвимость в MOVEit Transfer наделала много шума
▫️ Хакеры выкладывают вредоносное ПО на GitHub, выдавая ее за эксплоиты: не открытие, но всегда надо проверять перед запуском
#news
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6
Простые, но важные советы, которые помогут стать «хорошим» пентестером и избежать неприятностей. Вдогонку автор делится несколькими байками о том, в какие абсурдные ситуации можно попасть, нарушая правила.
Читать
#tips #pentest
Читать
#tips #pentest
Хабр
Информационная безопасность — Защита данных / Хабр
О том, как мы защищаем свою информацию — от взлома, повреждения, фишинга и т.д. Новости мира anti-virus, anti-spam, anti-spy и т.д. Личные впечатления, опыт, мнения.
❤4
Обход McAfee с помощью McAfee ¯\(ツ)/¯
Это история о том, как группа исследователей использовала инструменты McAfee для обхода McAfee Endpoint Security. И началось все с того, что им не удалось получить список исключений из реестра в открытом виде, созданных администратором...
Читать
#redteam #practice
Это история о том, как группа исследователей использовала инструменты McAfee для обхода McAfee Endpoint Security. И началось все с того, что им не удалось получить список исключений из реестра в открытом виде, созданных администратором...
Читать
#redteam #practice
👍8🥱2❤1🤯1
30 инструментов мониторинга Linux-системы, которые должен знать каждый сисадмин
К ИБ это имеет не так много отношения, но почему бы не разбавить контент рубрикой #полезнознать, ведь у нас тут больше линуксоидов собралось (см. опрос про Kali Linux).
Ставь 👍, если тебе заходят подобные материалы
🤔, если тебе это не интересно
#practice #tools
К ИБ это имеет не так много отношения, но почему бы не разбавить контент рубрикой #полезнознать, ведь у нас тут больше линуксоидов собралось (см. опрос про Kali Linux).
Ставь 👍, если тебе заходят подобные материалы
🤔, если тебе это не интересно
#practice #tools
👍31🥱3
Встречали когда нибудь веб-приложения под управлением Symfony в ходе пентеста? А различные *dev* файлы проверяли? Поверьте, там может быть очень много интересного.
#bugbounty #pentest #tips
#bugbounty #pentest #tips
👍4😁3🥱1
Объемный гайд по написанию bash-скриптов
Перед вами руководство для начинающих пользователей Linux / системных администраторов и всех, кто изучает Linux или информатику.
#learning #unix
Перед вами руководство для начинающих пользователей Linux / системных администраторов и всех, кто изучает Linux или информатику.
#learning #unix
👍5
Web Cache Poisoning на практике
Сложность технологических стеков постоянно приводит к неожиданному поведению, которым можно злоупотреблять для проведения атак с отравлением кеша, в связи с чем хорошо бы знать их особенности.
Автор статьи описал методы, которые он использовал для выявления более чем 70 уязвимостей в рамках багбаунти-программ, связанных с отравлением кеша.
#tips #bugbounty #pentest
Сложность технологических стеков постоянно приводит к неожиданному поведению, которым можно злоупотреблять для проведения атак с отравлением кеша, в связи с чем хорошо бы знать их особенности.
Автор статьи описал методы, которые он использовал для выявления более чем 70 уязвимостей в рамках багбаунти-программ, связанных с отравлением кеша.
#tips #bugbounty #pentest
👍5❤1
Многие люди лучше воспринимают визуальную информацию. Что ж, ловите серию инфографики на различные темы, связанные как с ИТ, так и с ИБ. Там вам и про уязвимости, и про фундаментальные основы веба, и про многое другое.
#fundamentals #easy
#fundamentals #easy
👍11❤3🥰1
Внедрение внешнего объекта XML (XXE) — не самая распространенная, но зачастую критическая уязвимость. Она позволяет вмешиваться в обработку XML-данных веб-приложением.
Знаете ли вы, что кроме извлечения файлов, XXE можно использовать для выполнения SSRF-атак, скрытой эксфильтрации данных и извлечения данных с помощью сообщений об ошибках.
Подробнее
#вопросы_для_самопроверки
Знаете ли вы, что кроме извлечения файлов, XXE можно использовать для выполнения SSRF-атак, скрытой эксфильтрации данных и извлечения данных с помощью сообщений об ошибках.
Подробнее
#вопросы_для_самопроверки
portswigger.net
What is XXE (XML external entity) injection? Tutorial & Examples | Web Security Academy
In this section, we'll explain what XML external entity injection is, describe some common examples, explain how to find and exploit various kinds of XXE ...
👍3
Введение в разрешения в Android: что это такое, как с ними работать, а главное, какие ошибки могут возникнуть и как их не допустить.
Читать
#mobile #pentest #bugbounty
Читать
#mobile #pentest #bugbounty
Хабр
Permissions в Android: как не допустить ошибок при разработке
Всем привет! На связи Юрий Шабалин, ведущий архитектор Swordfish Security и генеральный директор Стингрей Технолоджиз. Эта статья написана в соавторстве с Android-разработчиком Веселиной Зацепиной (...
❤2👍1
✍️ «Библиотека программиста» находится в поиске переводчика технических статей
Обязанности
• Перевод технических статей, документации и руководств с английского на русский язык.
• Редактирование и корректура переведенных текстов для обеспечения высокого качества и своевременной доставки переводов.
Что значит редактирование? Просто так взять DeepL и слово в слово перевести статью не получится?
• Не получится. Как правило, 10–40% текста — «вода». Переводчик должен убрать все лишнее и оставить главное, чтобы читатель не тратил время на чтение «забавной истории из жизни моего питомца, который внес неоценимый вклад в написание данного материала».
Мы предлагаем
• Удаленку.
• Официальное трудоустройство.
• Своевременную оплату за выполненную работу.
➡️ Заполнить анкету ⬅️
Я хорошо программирую, но пишу «так себе». Что делать?
Если вы хорошо программируете, но навыки письма немного отстают, пройдите наш бесплатный курс на Степике «Статьи для IT: как объяснять и распространять значимые идеи».
Обязанности
• Перевод технических статей, документации и руководств с английского на русский язык.
• Редактирование и корректура переведенных текстов для обеспечения высокого качества и своевременной доставки переводов.
Что значит редактирование? Просто так взять DeepL и слово в слово перевести статью не получится?
• Не получится. Как правило, 10–40% текста — «вода». Переводчик должен убрать все лишнее и оставить главное, чтобы читатель не тратил время на чтение «забавной истории из жизни моего питомца, который внес неоценимый вклад в написание данного материала».
Мы предлагаем
• Удаленку.
• Официальное трудоустройство.
• Своевременную оплату за выполненную работу.
➡️ Заполнить анкету ⬅️
Я хорошо программирую, но пишу «так себе». Что делать?
Если вы хорошо программируете, но навыки письма немного отстают, пройдите наш бесплатный курс на Степике «Статьи для IT: как объяснять и распространять значимые идеи».
❤1🤔1
🔧 reconFTW — комбайн для этичного хакера, который автоматизирует весь процесс разведки.
Он различными способами брутит поддомены (пассивный способ, перебор, перестановки, certificate transparency, парсинг исходного кода, аналитика, DNS-записи) и тестирует цели на подверженность различным уязвимостям. В конечном итоге вы получаете максимальный объем информации об исследуемых ресурсах.
Репозиторий
#tools #bugbounty #pentest #recon
Он различными способами брутит поддомены (пассивный способ, перебор, перестановки, certificate transparency, парсинг исходного кода, аналитика, DNS-записи) и тестирует цели на подверженность различным уязвимостям. В конечном итоге вы получаете максимальный объем информации об исследуемых ресурсах.
Репозиторий
#tools #bugbounty #pentest #recon
GitHub
GitHub - six2dez/reconftw: reconFTW is a tool designed to perform automated recon on a target domain by running the best set of…
reconFTW is a tool designed to perform automated recon on a target domain by running the best set of tools to perform scanning and finding out vulnerabilities - six2dez/reconftw