😳 Уже построили планы на выходные? Не торопитесь, есть для вас кое-что интересное — записи выступлений с OFFZONE 2023.

📺 Track 1
📺 AntiFraud.Zone
📺 Track 2
📺 AppSec.Zone
📺 CTF.Zone
📺 Community.Zone

Вас ждут выступления 108 экспертов с 89 докладами, а также пять прикладных воркшопов, которые включали в себя практические задания и разбор реальных кейсов о применении ИИ для защиты информации, особенностях безопасности компонентов CI/CD, практике пентеста Android-приложений и другом.

В этом году 17 участников сделали тату с логотипом конференции. За это они получили дополнительную валюту мероприятия и возможность бесплатно проходить на все будущие конференции OFFZONE.

#secevent #чтопроисходит

😎Рамазан Рамазанов (r0hack): «Багхантинг: кейсы, инструменты и рекомендации»

👶Внимательный читатель заметил, что во втором треке Рамазан делится советами для новичков. Послушайте и возьмите на вооружение — оно того стоит, если хотите начать зарабатывать.

#tips #bugbounty

🤔Почему вы должны искать и пытаться эксплуатировать баги вручную, прежде чем использовать инструменты? Потому что инструменты могут не дать четкого пиромания, что происходит.

📌Ваш запрос может блокироваться, либо веб-приложение просто может странно себя вести.

🤩Хотите научиться вручную эксплуатировать SQL-инъекции? Тогда ловите пошаговый мини-гайд👇

👀Читать

#bugbounty #pentest #practice

🤦‍♂️IDOR часто представляют собой простые ошибки с критическими последствиями, но угадать идентификатор объекта — не самая простая задача.

🔍Чтобы понять суть этой проблемы на практике, багхантер Grzegorz Niedziela проанализировал 187 отчетов об ошибках и теперь делится с нами опытом.

📺Смотреть

#bugbounty #tips

🔥Ваша команда случайно JetBrains TeamCity не использует? Если использует, то неплохо было бы обновиться.

😈Свежая CVE-2023-42793 позволяет внешнему злоумышленнику обойти аутентификацию, получить административный доступ к серверу и выполнить на нем любые команды.

#CVE #security #pentest

🤔 С вами было такое, что в выходные не успевали переделать и половины из того, что планировали? И даже физические и электронные ToDo-списки не выручат?

🤷‍♂️Может стоит попробовать использовать простой календарь?

📆 Calendar Blocking — метод планирования дел для повышения продуктивности, который позволяет контролировать время работы и отдыха с использованием календаря.

Валерий Жила в недавнем треде подробно написал про него. Говорит, что это очень простой и действенный метод повышения продуктивности и контроля своего ментального здоровья.

📌Что нужно делать?

👉 Берём свой календарь, заполняем какими-то рамками — например, время отхода ко сну и подъема. Стараемся планировать крупные дела наперёд, а по ходу дня всякую мелочь. Не слишком подробно (блоки от 30 минут с буферами), честно и быстро.

📌Что это даёт?

👉 Помогает концентрироваться на одном деле за раз. Помогает принимать оперативные решения и улучшать work-life balance. Помогает снизить тревожность и разгрузить память — великолепный «второй мозг» для планирования.

❗️Важно

Calendar Blocking подойдёт далеко не всем. Если вы творец, живущий спонтанной ловлей момента на кончиках пальцев, или вы просто любите спонтанные встречи с друзьями скорее всего, метод не зайдёт.

О том, как это работает на практике, как и с помощью каких инструментов всё это сделать, читайте в его треде: в соцсети X или в приложении Threadreader, если бывший Твиттер у вас не открывается.

💬 Используете что-то подобное для планирования своего дня? Поделитесь в комментариях👇

#холивар

🚀Команда Doyensec представила новую версию инструмента для анализа безопасности веб-приложений, использующих GraphQL

⚒️InQL — расширение Burp Suite с открытым исходным кодом для тестирования GraphQL, предлагающее интуитивное обнаружение уязвимостей, настраиваемое сканирование и плавную интеграцию с Burp.

☑️А InQL v5.x — это не просто обновление, а комплексная модернизация, призванная расширить ваши возможности тестирования GraphQL.

👉Подробнее

#tools #bugbounty #pentest

📌 Подборка интересных новостей для этичного хакера:

⚡️ Топ CVE за сентябрь 2023 года по версии компании T.Hunter.
🤯 Традиционный обзор «классических» и нетривиальных ИБ-инцидентов от компании SearchInform.
🌐 Россия готова к автономии интернета | Apple скрыли правду | Китай обвиняет США в атаке на Huawei: security-новости от секлаб.

🔉Громкие новости:

🔍 Критические уязвимости обнаружены в корпоративном ПО для хостинга данных WS_FTP. Этот софт пишет та самая компания, которая недавно прогремела с MOVEit Transfer.
🤦 DDoS-защиту Cloudflare можно обойти с помощью самой Cloudflare.
🔐 Выпущен эксплойт для обхода аутентификации Microsoft SharePoint Server — история с дырявым легаси от Microsoft никогда не закончится.
🚀 Появился эксплоит для Linux-уязвимости Looney Tunables. Баг, позволяющий локальным злоумышленникам получить root-права, актуален для большинства популярных Linux-дистрибутитов, включая Fedora, Ubuntu и Debian.

#чтопроисходит