🏭В 2022 году одна промышленная компания пригласила специалистов PT Expert Security Center расследовать киберинцидент. В ее скомпрометированной инфраструктуре были обнаружены образцы не встречавшегося ранее вредоносного ПО.
🔍Дальнейший анализ показал, что это сложный модульный бэкдор с хорошо проработанными архитектурой и транспортной системой. Читайте подробнее о способах его доставки и устройстве, а также о том, как MataDoor внедряется в инфосистемы и действует.
🔗 Читать
🔍Дальнейший анализ показал, что это сложный модульный бэкдор с хорошо проработанными архитектурой и транспортной системой. Читайте подробнее о способах его доставки и устройстве, а также о том, как MataDoor внедряется в инфосистемы и действует.
🔗 Читать
🔥3
Нашли функционал загрузки файла, но не можете загрузить его с необходимым расширением? Вы знаете, что делать☝️
#bugbounty #pentest #tips
#bugbounty #pentest #tips
🔥4👍2
Используете ли вы в багхантинге советы (хэштег #tips), которые публикуются на канале?
Anonymous Poll
44%
Да, крутые советы
5%
Да, я даже получил баунти с помощью них
11%
Нет, не хватает еще больше авторских комментариев
16%
Нет, нужно что-то более простое и понятное
25%
Другой ответ (напишу в комментариях)
👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🥱4
Вас ждут выступления 108 экспертов с 89 докладами, а также пять прикладных воркшопов, которые включали в себя практические задания и разбор реальных кейсов о применении ИИ для защиты информации, особенностях безопасности компонентов CI/CD, практике пентеста Android-приложений и другом.
В этом году 17 участников сделали тату с логотипом конференции. За это они получили дополнительную валюту мероприятия и возможность бесплатно проходить на все будущие конференции OFFZONE.
#secevent #чтопроисходит
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
😎Рамазан Рамазанов (r0hack): «Багхантинг: кейсы, инструменты и рекомендации»
👶 Внимательный читатель заметил, что во втором треке Рамазан делится советами для новичков. Послушайте и возьмите на вооружение — оно того стоит, если хотите начать зарабатывать.
#tips #bugbounty
#tips #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Рамазан Рамазанов (r0hack) . Багхантинг: кейсы, инструменты и рекомендации
Багхантинг: кейсы, инструменты и рекомендации
Рамазан Рамазанов (r0hack)
Багхантер, руководитель отдела внешних пентестов DeteAct
- Почему не получается находить уязвимости на багбаунти?
- Способы багхантинга и кейсы для каждого способа.
- Российский багбаунти:…
Рамазан Рамазанов (r0hack)
Багхантер, руководитель отдела внешних пентестов DeteAct
- Почему не получается находить уязвимости на багбаунти?
- Способы багхантинга и кейсы для каждого способа.
- Российский багбаунти:…
👏6
medium_com_bug4y0u_how_i_got_4_sqli_vulnerabilities_at_one_target.pdf
4.7 MB
🤔Почему вы должны искать и пытаться эксплуатировать баги вручную, прежде чем использовать инструменты? Потому что инструменты могут не дать четкого пиромания, что происходит.
📌Ваш запрос может блокироваться, либо веб-приложение просто может странно себя вести.
🤩Хотите научиться вручную эксплуатировать SQL-инъекции? Тогда ловите пошаговый мини-гайд👇
👀 Читать
#bugbounty #pentest #practice
📌Ваш запрос может блокироваться, либо веб-приложение просто может странно себя вести.
🤩Хотите научиться вручную эксплуатировать SQL-инъекции? Тогда ловите пошаговый мини-гайд👇
#bugbounty #pentest #practice
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥3❤1
🤦♂️IDOR часто представляют собой простые ошибки с критическими последствиями, но угадать идентификатор объекта — не самая простая задача.
🔍Чтобы понять суть этой проблемы на практике, багхантер Grzegorz Niedziela проанализировал 187 отчетов об ошибках и теперь делится с нами опытом.
📺 Смотреть
#bugbounty #tips
🔍Чтобы понять суть этой проблемы на практике, багхантер Grzegorz Niedziela проанализировал 187 отчетов об ошибках и теперь делится с нами опытом.
#bugbounty #tips
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
IDOR - how to predict an identifier? Bug bounty case study
📚 Access full case study here: https://members.bugbountyexplained.com/how-to-make-money-with-idors-idor-case-study/
📖 Check out AppSecEngineer, the sponsor of today's video: https://www.appsecengineer.com
📧 Subscribe to BBRE Premium: https://bbre.dev/premium…
📖 Check out AppSecEngineer, the sponsor of today's video: https://www.appsecengineer.com
📧 Subscribe to BBRE Premium: https://bbre.dev/premium…
👍5
This media is not supported in your browser
VIEW IN TELEGRAM
😈Свежая CVE-2023-42793 позволяет внешнему злоумышленнику обойти аутентификацию, получить административный доступ к серверу и выполнить на нем любые команды.
#CVE #security #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🤯2🥱2
💡Как обнаружить потенциальную SQL-инъекцию в числовых параметрах URL-запроса или тела JSON?
• Запрос: ?id=31337
или JSON-запрос: {"id": 31337}
• Результат: товар с ID 31337
• Запрос: ?id=31338-1
или JSON-запрос: {"id": "31338-1"}
• Результат: тот же товар с ID 31337
😎То есть вы можете манипулировать числовыми параметрами.
#tips #bugbounty #pentest #recon by therceman
• Запрос: ?id=31337
или JSON-запрос: {"id": 31337}
• Результат: товар с ID 31337
• Запрос: ?id=31338-1
или JSON-запрос: {"id": "31338-1"}
• Результат: тот же товар с ID 31337
😎То есть вы можете манипулировать числовыми параметрами.
#tips #bugbounty #pentest #recon by therceman
X (formerly Twitter)
Anton on X
Bug Bounty Tip
How to detect potential SQL injection on numeric parameters in the URL query or JSON body.
Query: ?id=31337
or JSON Body: {"id": 31337}
Result: item with ID 31337
Query: ?id=31338-1
or JSON Body: {"id": "31338-1"}
Result: the same item with…
How to detect potential SQL injection on numeric parameters in the URL query or JSON body.
Query: ?id=31337
or JSON Body: {"id": 31337}
Result: item with ID 31337
Query: ?id=31338-1
or JSON Body: {"id": "31338-1"}
Result: the same item with…
👍7🤔3
🤓Основы компьютерной безопасности: серия мини-уроков от канала PathSecure
🔸 Основы криптографии
🔹 Практика. Криптография и её прикладные инструменты
🔸 Основы сетей
🔸 Основы веба
🔹 Практика. Основы веба
🔸 Атаки на веб
🔹 Безопасность беспроводных сетей + воркшоп
#learning #pentest #redteam
🔸 Основы криптографии
🔹 Практика. Криптография и её прикладные инструменты
🔸 Основы сетей
🔸 Основы веба
🔹 Практика. Основы веба
🔸 Атаки на веб
🔹 Безопасность беспроводных сетей + воркшоп
#learning #pentest #redteam
YouTube
Лекция 1. Основы криптографии
Лекця записана в конце октября 2021 года, слушателями являются студенты 2 курса.
В этой лекции разбираются фундаментальные основы криптографии.
Рассматриваются причины возникновении науки о шифровании и дешифровании, рассматривается модель нарушителя, классификация…
В этой лекции разбираются фундаментальные основы криптографии.
Рассматриваются причины возникновении науки о шифровании и дешифровании, рассматривается модель нарушителя, классификация…
👍9❤1
⚡️Знаете, как быстро и просто найти ошибки синтаксического анализа XML, которые могут привести с XXE-инъекции?
☑️Просто добавьте в настройках Burp Suite правило сопоставления и замены: с «application/json» на «text/xml».
#bugbounty #tips
☑️Просто добавьте в настройках Burp Suite правило сопоставления и замены: с «application/json» на «text/xml».
#bugbounty #tips
👍11❤1
Подборка лучших статей «Библиотеки программиста» за сентябрь: сохраняй в заметки, чтобы не пропустить #самыйсок
📕 ТОП-9 книг по языку программирования Go в 2023 году: от новичка до профессионала
🐍 Дорожная карта Python-разработчика в 2023 году
🎓💼 ТОП-9 не самых очевидных компаний для стажировки в ИТ
☕🛣️ Дорожная карта Java-разработчика в 2023 году
🦸⚡ 9 способов настройки градиента цели для поддержания мотивации
⚒️ ТОП-27 плагинов для Visual Studio Code в 2023
🔎💼🗺️ Как программисту искать (и найти) работу за границей в 2023 году
🔝 Приоритизация задач по методу MoSCoW: как за 5 минут научиться грамотно расставлять приоритеты
🤖 Создание собственного ИИ-бота на Python за 33 строчки кода
📊 Как я входил в IT? Результаты опроса «Библиотеки программиста»
📕 ТОП-9 книг по языку программирования Go в 2023 году: от новичка до профессионала
🐍 Дорожная карта Python-разработчика в 2023 году
🎓💼 ТОП-9 не самых очевидных компаний для стажировки в ИТ
☕🛣️ Дорожная карта Java-разработчика в 2023 году
🦸⚡ 9 способов настройки градиента цели для поддержания мотивации
⚒️ ТОП-27 плагинов для Visual Studio Code в 2023
🔎💼🗺️ Как программисту искать (и найти) работу за границей в 2023 году
🔝 Приоритизация задач по методу MoSCoW: как за 5 минут научиться грамотно расставлять приоритеты
🤖 Создание собственного ИИ-бота на Python за 33 строчки кода
📊 Как я входил в IT? Результаты опроса «Библиотеки программиста»
🔥4
🤔Зачастую в ходе пентеста внутренней инфраструктуры исследователю необходимо вызвать обратное соединение из сети организации. Но как это сделать, если безопасники обложили новомодными средствами рабочие станции и сервера компании?
🛠Одно из решений: использовать легитимные возможности инструментов Windows. Так, с июля 2023 года Microsoft предлагает идеальный reverse shell, встроенный в Visual Studio Code — широко используемый редактор для разработки.
👌Всего несколькими щелчками мыши любой пользователь с учетной записью GitHub может поделиться своим рабочим столом Visual Studio. Читайте подробнее, как это сделать и как этого можно избежать.
#pentest #redteam #blueteam #security #tools
🛠Одно из решений: использовать легитимные возможности инструментов Windows. Так, с июля 2023 года Microsoft предлагает идеальный reverse shell, встроенный в Visual Studio Code — широко используемый редактор для разработки.
👌Всего несколькими щелчками мыши любой пользователь с учетной записью GitHub может поделиться своим рабочим столом Visual Studio. Читайте подробнее, как это сделать и как этого можно избежать.
#pentest #redteam #blueteam #security #tools
🔥6
🤷♂️Может стоит попробовать использовать простой календарь?
Валерий Жила в недавнем треде подробно написал про него. Говорит, что это очень простой и действенный метод повышения продуктивности и контроля своего ментального здоровья.
📌Что нужно делать?
👉 Берём свой календарь, заполняем какими-то рамками — например, время отхода ко сну и подъема. Стараемся планировать крупные дела наперёд, а по ходу дня всякую мелочь. Не слишком подробно (блоки от 30 минут с буферами), честно и быстро.
📌Что это даёт?
👉 Помогает концентрироваться на одном деле за раз. Помогает принимать оперативные решения и улучшать work-life balance. Помогает снизить тревожность и разгрузить память — великолепный «второй мозг» для планирования.
❗️Важно
Calendar Blocking подойдёт далеко не всем. Если вы творец, живущий спонтанной ловлей момента на кончиках пальцев, или вы просто любите спонтанные встречи с друзьями скорее всего, метод не зайдёт.
О том, как это работает на практике, как и с помощью каких инструментов всё это сделать, читайте в его треде: в соцсети X или в приложении Threadreader, если бывший Твиттер у вас не открывается.
#холивар
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🥱3
This media is not supported in your browser
VIEW IN TELEGRAM
⚡️Вышла пятая версия легендарной платы Raspberry Pi
📌Чем может похвастаться новая версия?
👉Технические характеристики почти во всем превосходят ее предшественника.
👉Новый проц Broadcom BCM2712 с тактовой частотой 2,4 ГГц и четырьмя 64-битными процессорными ядрами Arm Cortex-A76 в два-три раза производительнее, чем BCM2711, которым комплектовалась Raspberry Pi 4.
👉В новым чипе представлены L2-кэш 512 КБ на ядро, общий L3-кэш 2 МБ, а также дополнительные криптографические возможности.
👉Среди прочего оснащена: слотом для SD-карт, стандартным 40-pin GPIO, двумя приемопередатчиками MIPI, разъемом UART, двумя полноразмерными портами USB 3.0 с поддержкой одновременной скорости передачи данных 5 Гбит/с и двумя полноразмерными портами USB 2.0.
😎Очень круто, что пятое поколение станет первым продуктом Raspberry Pi Foundation, использующим специальный чип RP1, созданный самой организацией.
💬В вашем арсенале есть Raspberry Pi?
#tools #news
📌Чем может похвастаться новая версия?
👉Технические характеристики почти во всем превосходят ее предшественника.
👉Новый проц Broadcom BCM2712 с тактовой частотой 2,4 ГГц и четырьмя 64-битными процессорными ядрами Arm Cortex-A76 в два-три раза производительнее, чем BCM2711, которым комплектовалась Raspberry Pi 4.
👉В новым чипе представлены L2-кэш 512 КБ на ядро, общий L3-кэш 2 МБ, а также дополнительные криптографические возможности.
👉Среди прочего оснащена: слотом для SD-карт, стандартным 40-pin GPIO, двумя приемопередатчиками MIPI, разъемом UART, двумя полноразмерными портами USB 3.0 с поддержкой одновременной скорости передачи данных 5 Гбит/с и двумя полноразмерными портами USB 2.0.
😎Очень круто, что пятое поколение станет первым продуктом Raspberry Pi Foundation, использующим специальный чип RP1, созданный самой организацией.
💬В вашем арсенале есть Raspberry Pi?
#tools #news
👍7
file_upload.jpeg
112.6 KB
При тестировании функции загрузки файлов не забудьте проверить технику path traversal:
✅Это потенциально может привести к багам, связанным с перезаписью произвольных файлов, включая статические файлы (JS/HTML, или даже файлы других пользователей).
#bugbounty #tips by therceman
✅Это потенциально может привести к багам, связанным с перезаписью произвольных файлов, включая статические файлы (JS/HTML, или даже файлы других пользователей).
#bugbounty #tips by therceman
🔥8👍4