Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
12.6K subscribers
1.9K photos
99 videos
166 files
2.93K links
Все самое полезное по инфобезу в одном канале.

Список наших каналов: https://t.me/proglibrary/9197

Для обратной связи: @proglibrary_feeedback_bot

По рекламе: @proglib_adv
РКН: https://gosuslugi.ru/snet/67ab0e2e75b36e054ef6d5bf
Download Telegram
🏭В 2022 году одна промышленная компания пригласила специалистов PT Expert Security Center расследовать киберинцидент. В ее скомпрометированной инфраструктуре были обнаружены образцы не встречавшегося ранее вредоносного ПО.

🔍Дальнейший анализ показал, что это сложный модульный бэкдор с хорошо проработанными архитектурой и транспортной системой. Читайте подробнее о способах его доставки и устройстве, а также о том, как MataDoor внедряется в инфосистемы и действует.

🔗 Читать
🔥3
Нашли функционал загрузки файла, но не можете загрузить его с необходимым расширением? Вы знаете, что делать☝️

#bugbounty #pentest #tips
🔥4👍2
😍 Казалось, время настолько детальной кастомизации ОС уже прошло, но не в случае пользователей Kali Linux.

🤩 Смотрите и читайте подробнее, что сообщество делает с любимым дистрибутивом.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
8🥱4
😳 Уже построили планы на выходные? Не торопитесь, есть для вас кое-что интересное — записи выступлений с OFFZONE 2023.

📺 Track 1
📺 AntiFraud.Zone
📺 Track 2
📺 AppSec.Zone
📺 CTF.Zone
📺 Community.Zone

Вас ждут выступления 108 экспертов с 89 докладами, а также пять прикладных воркшопов, которые включали в себя практические задания и разбор реальных кейсов о применении ИИ для защиты информации, особенностях безопасности компонентов CI/CD, практике пентеста Android-приложений и другом.

В этом году 17 участников сделали тату с логотипом конференции. За это они получили дополнительную валюту мероприятия и возможность бесплатно проходить на все будущие конференции OFFZONE.

#secevent #чтопроисходит
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
😳 Уже построили планы на выходные? Не торопитесь, есть для вас кое-что интересное — записи выступлений с OFFZONE 2023. 📺 Track 1 📺 AntiFraud.Zone 📺 Track 2 📺 AppSec.Zone 📺 CTF.Zone 📺 Community.Zone Вас ждут выступления 108 экспертов с 89 докладами, а также…
😎Рамазан Рамазанов (r0hack): «Багхантинг: кейсы, инструменты и рекомендации»

👶Внимательный читатель заметил, что во втором треке Рамазан делится советами для новичков. Послушайте и возьмите на вооружение — оно того стоит, если хотите начать зарабатывать.

#tips #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
👏6
medium_com_bug4y0u_how_i_got_4_sqli_vulnerabilities_at_one_target.pdf
4.7 MB
🤔Почему вы должны искать и пытаться эксплуатировать баги вручную, прежде чем использовать инструменты? Потому что инструменты могут не дать четкого пиромания, что происходит.

📌Ваш запрос может блокироваться, либо веб-приложение просто может странно себя вести.

🤩Хотите научиться вручную эксплуатировать SQL-инъекции? Тогда ловите пошаговый мини-гайд👇

👀Читать

#bugbounty #pentest #practice
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥31
🤦‍♂️IDOR часто представляют собой простые ошибки с критическими последствиями, но угадать идентификатор объекта — не самая простая задача.

🔍Чтобы понять суть этой проблемы на практике, багхантер Grzegorz Niedziela проанализировал 187 отчетов об ошибках и теперь делится с нами опытом.

📺Смотреть

#bugbounty #tips
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
This media is not supported in your browser
VIEW IN TELEGRAM
🔥Ваша команда случайно JetBrains TeamCity не использует? Если использует, то неплохо было бы обновиться.

😈Свежая CVE-2023-42793 позволяет внешнему злоумышленнику обойти аутентификацию, получить административный доступ к серверу и выполнить на нем любые команды.

#CVE #security #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤯2🥱2
💡Как обнаружить потенциальную SQL-инъекцию в числовых параметрах URL-запроса или тела JSON?

Запрос: ?id=31337
или JSON-запрос: {"id": 31337}
Результат: товар с ID 31337

Запрос: ?id=31338-1
или JSON-запрос: {"id": "31338-1"}
Результат: тот же товар с ID 31337

😎То есть вы можете манипулировать числовыми параметрами.

#tips #bugbounty #pentest #recon by therceman
👍7🤔3
⚡️Знаете, как быстро и просто найти ошибки синтаксического анализа XML, которые могут привести с XXE-инъекции?

☑️Просто добавьте в настройках Burp Suite правило сопоставления и замены: с «application/json» на «text/xml».

#bugbounty #tips
👍111
💡Шпаргалка по использованию grep: на заметку этичному хакеру

#cheatsheet #linux
🔥9👍6
🤔Зачастую в ходе пентеста внутренней инфраструктуры исследователю необходимо вызвать обратное соединение из сети организации. Но как это сделать, если безопасники обложили новомодными средствами рабочие станции и сервера компании?

🛠Одно из решений: использовать легитимные возможности инструментов Windows. Так, с июля 2023 года Microsoft предлагает идеальный reverse shell, встроенный в Visual Studio Code — широко используемый редактор для разработки.

👌Всего несколькими щелчками мыши любой пользователь с учетной записью GitHub может поделиться своим рабочим столом Visual Studio. Читайте подробнее, как это сделать и как этого можно избежать.

#pentest #redteam #blueteam #security #tools
🔥6
🤔 С вами было такое, что в выходные не успевали переделать и половины из того, что планировали? И даже физические и электронные ToDo-списки не выручат?

🤷‍♂️Может стоит попробовать использовать простой календарь?

📆 Calendar Blocking — метод планирования дел для повышения продуктивности, который позволяет контролировать время работы и отдыха с использованием календаря.

Валерий Жила в недавнем треде подробно написал про него. Говорит, что это очень простой и действенный метод повышения продуктивности и контроля своего ментального здоровья.

📌Что нужно делать?

👉 Берём свой календарь, заполняем какими-то рамками — например, время отхода ко сну и подъема. Стараемся планировать крупные дела наперёд, а по ходу дня всякую мелочь. Не слишком подробно (блоки от 30 минут с буферами), честно и быстро.

📌Что это даёт?

👉 Помогает концентрироваться на одном деле за раз. Помогает принимать оперативные решения и улучшать work-life balance. Помогает снизить тревожность и разгрузить память — великолепный «второй мозг» для планирования.

❗️Важно

Calendar Blocking подойдёт далеко не всем. Если вы творец, живущий спонтанной ловлей момента на кончиках пальцев, или вы просто любите спонтанные встречи с друзьями скорее всего, метод не зайдёт.

О том, как это работает на практике, как и с помощью каких инструментов всё это сделать, читайте в его треде: в соцсети X или в приложении Threadreader, если бывший Твиттер у вас не открывается.

💬 Используете что-то подобное для планирования своего дня? Поделитесь в комментариях👇

#холивар
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🥱3
This media is not supported in your browser
VIEW IN TELEGRAM
⚡️Вышла пятая версия легендарной платы Raspberry Pi

📌Чем может похвастаться новая версия?

👉Технические характеристики почти во всем превосходят ее предшественника.

👉Новый проц Broadcom BCM2712 с тактовой частотой 2,4 ГГц и четырьмя 64-битными процессорными ядрами Arm Cortex-A76 в два-три раза производительнее, чем BCM2711, которым комплектовалась Raspberry Pi 4.

👉В новым чипе представлены L2-кэш 512 КБ на ядро, общий L3-кэш 2 МБ, а также дополнительные криптографические возможности.

👉Среди прочего оснащена: слотом для SD-карт, стандартным 40-pin GPIO, двумя приемопередатчиками MIPI, разъемом UART, двумя полноразмерными портами USB 3.0 с поддержкой одновременной скорости передачи данных 5 Гбит/с и двумя полноразмерными портами USB 2.0.

😎Очень круто, что пятое поколение станет первым продуктом Raspberry Pi Foundation, использующим специальный чип RP1, созданный самой организацией.

💬В вашем арсенале есть Raspberry Pi?

#tools #news
👍7
file_upload.jpeg
112.6 KB
При тестировании функции загрузки файлов не забудьте проверить технику path traversal:

Это потенциально может привести к багам, связанным с перезаписью произвольных файлов, включая статические файлы (JS/HTML, или даже файлы других пользователей).

#bugbounty #tips by therceman
🔥8👍4