Ways_I_followed_to_Bypass_‘403’_—_Your_checklist_by_Suprajabaskaran.pdf
3.4 MB
Новичок может пройти мимо, если исследуемое веб-приложение отвечает 403 Forbidden, но не стоит спешить. Вот несколько аспектов, которые можно протестировать:
1️⃣Directory Traversal
2️⃣Манипуляция параметрами
3️⃣Тестирование доступа на основе ошибок
4️⃣Изменение заголовков запроса
5️⃣Использование инструмента 403 Bypasser
👉Читайте подробнее в статье в PDF или на Medium
#tips #pentest #bugbounty
1️⃣Directory Traversal
2️⃣Манипуляция параметрами
3️⃣Тестирование доступа на основе ошибок
4️⃣Изменение заголовков запроса
5️⃣Использование инструмента 403 Bypasser
👉Читайте подробнее в статье в PDF или на Medium
#tips #pentest #bugbounty
❤4👍3
🏦«Специфические атаки на интернет-банкинг» — доклад Рамазана Рамазанова на конференции Heisenbug
🎤 Рамазан затронул те самые специфические баги, которые часто встречаются именно при тестировании интернет-банкинга:
4:17 — Зачем ломают банки?
5:12 — Из чего состоит банкинг
6:36 — Типы уязвимостей
7:25 — Специфические уязвимости и атаки
27:52 — Инструменты
29:10 — Выводы
#pentest #bugbounty
4:17 — Зачем ломают банки?
5:12 — Из чего состоит банкинг
6:36 — Типы уязвимостей
7:25 — Специфические уязвимости и атаки
27:52 — Инструменты
29:10 — Выводы
#pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8👍3
This media is not supported in your browser
VIEW IN TELEGRAM
Нас уже больше 10 000 🥳🎊🎂! Спасибо за интерес к «Библиотеке хакера».
🎉29😁2
Внедрение символов HTML в разные места URL-адреса может дать любопытные результаты:
<a href="{A}javas{B}cript{C}:alert(1)">
A) ,  ... ➡️ ...  
😎 	, 
, 
C) 	, 
, 
📌Пример
<a href="javas	cript :alert(1)">
Click Me
</a>
#tips #bugbounty
<a href="{A}javas{B}cript{C}:alert(1)">
A) ,  ... ➡️ ...  
😎 	, 
, 
C) 	, 
, 
📌Пример
<a href="javas	cript :alert(1)">
Click Me
</a>
#tips #bugbounty
🔥12👍4
🔍Честно сказать, многие попросту упускают из виду эту возможность. Мы на канале часто упоминаем тему #mobile, поэтому не стесняйтесь искать и погружаться.
📌А сегодня затронем тему контент-провайдеров (Content Providers) в Android. Это фундаментальный компонент, широко используемый для обмена данными между различными приложениями.
🔐Часто они предоставляют доступ к конфиденциальному контенту, но из-за распространенных ошибок в реализации и механизмах защиты они подвержены различным уязвимостям.
👉В статье как раз рассмотрены наиболее распространенные проблемы в их работе и потенциальные методы их использования.
❓Хотите погрузиться в безопасность мобилок подробнее? Посмотрите или послушайте интервью Сергея Тошина aka BagiPro (топ-1 мобильный хакер) с ребятами из подкаста criticalthinking.
#pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
News, Techniques & Guides
Content Providers and the potential weak spots they can have
Before we jump into the details, we want to stress how important it is to keep your users' data safe.
👍5
How_to_Discover_API_Subdomains_API_Hacking_by_Medusa_Sep,_2023_InfoSec.pdf
3.4 MB
— Поддомены API 🤔?
— Это что-то новенькое.
📌Поддомены API — это обычные поддомены сайта/веб-приложения, но специально предназначенные для размещения API.
☑️Понимайте это как отдельные двери для входа в разные части исследуемого веб-приложения. Поверьте, этих дверей может быть очень много, поэтому стоит разбираться в ключевых механизмах работы.
💡Читайте подробнее о том, для чего вообще делать поддомены API и как это использовать в наших целях.
#tips #pentest #bugbounty
— Это что-то новенькое.
📌Поддомены API — это обычные поддомены сайта/веб-приложения, но специально предназначенные для размещения API.
☑️Понимайте это как отдельные двери для входа в разные части исследуемого веб-приложения. Поверьте, этих дверей может быть очень много, поэтому стоит разбираться в ключевых механизмах работы.
💡Читайте подробнее о том, для чего вообще делать поддомены API и как это использовать в наших целях.
#tips #pentest #bugbounty
👍6🔥3
Как вы думаете, с какой скоростью ваш выделенный сервер с доступным SSH будут брутить? Таким и многими другими вопросами задался Владимир Туров из Selectel. Под кат стоит заглянуть хотя бы ради собранной статистики. А ниже — выводы, которые можно сделать из экспериментов.
🤦♂️Перенос SSH на необычный порт поможет спрятаться от нежелательного внимания, но только не на порт 2222 — это приведет к обратному результату.
🦹♂️Сегодня ботнеты можно разделить на две категории: бессмысленные и аккуратные. Первые заполнят логи безуспешными попытками подобрать пароль, а в случае удачи ничего не сделают. Вторые же придут с паролями по умолчанию и в случае успеха оставят вредонос.
🤐За два года практически полностью «вымерли» злоумышленники, которые лишают владельца доступа к своему устройству. Фокус изменился с деструктивных операций на скрытность. Непопулярность других портов и протоколов не гарантирует безопасности от злоумышленников.
#security
🤦♂️Перенос SSH на необычный порт поможет спрятаться от нежелательного внимания, но только не на порт 2222 — это приведет к обратному результату.
🦹♂️Сегодня ботнеты можно разделить на две категории: бессмысленные и аккуратные. Первые заполнят логи безуспешными попытками подобрать пароль, а в случае удачи ничего не сделают. Вторые же придут с паролями по умолчанию и в случае успеха оставят вредонос.
🤐За два года практически полностью «вымерли» злоумышленники, которые лишают владельца доступа к своему устройству. Фокус изменился с деструктивных операций на скрытность. Непопулярность других портов и протоколов не гарантирует безопасности от злоумышленников.
#security
👍3
😎Выполнение кода на целевой системе может быть достигнуто различными способами и с помощью нескольких типов уязвимостей.
🤑️Ловите подборку трех популярных инструментов, которые помогут вам их выявить и использовать👇
1⃣ Tplmap — сканер, который автоматизирует поиск инъекции кода/шаблонов Server-Side (SSTI) и эксплуатацию уязвимостей SSTI.
2️⃣ Fuxploider — инструмент, который поможет использовать различные баги в функционале загрузки файлов, ведь именно этот функционал обычно позволяет загрузить веб-шелл и исполнить код.
3️⃣ SQLMap — популярный инструмент для эксплуатации SQL-инъекций, который среди прочего обеспечивает поддержку для автоматизации повышения привилегий и удаленного выполнения кода.
#pentest #redteam #bugbounty #tools
🤑️Ловите подборку трех популярных инструментов, которые помогут вам их выявить и использовать👇
1⃣ Tplmap — сканер, который автоматизирует поиск инъекции кода/шаблонов Server-Side (SSTI) и эксплуатацию уязвимостей SSTI.
2️⃣ Fuxploider — инструмент, который поможет использовать различные баги в функционале загрузки файлов, ведь именно этот функционал обычно позволяет загрузить веб-шелл и исполнить код.
3️⃣ SQLMap — популярный инструмент для эксплуатации SQL-инъекций, который среди прочего обеспечивает поддержку для автоматизации повышения привилегий и удаленного выполнения кода.
#pentest #redteam #bugbounty #tools
👍5
Ты ж программист — универсальная профессия, которая охватывает абсолютно все. Она вам точно знакома. А теперь поделитесь самым топовым вопросом к вам, который начинался с «ты ж программист …»
Anonymous Poll
44%
Можешь починить [название рандомной техники]?
39%
Можешь установить [название рандомной программы]?
25%
Можешь удалить все вирусы на компьютере?
13%
Что думаешь о биткоинах?
36%
Почему мой телефон так медленно работает?
35%
Можешь взломать мой старый аккаунт в соцсети?
34%
Можешь переустановить Windows?
18%
Что лучше: Android или iPhone?
7%
Свой вариант (напишу в комментариях)
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
👍1
The_Art_of_Monitoring_Bug_Bounty_Programs_by_YoungVanda_Sep,_2023.pdf
2.6 MB
А если автоматизируете этот процесс, успех будет точно гарантирован. Ловите гайд, в котором как раз представлен инструмент для автоматизации мониторинга программ багбаунти и приведены мысли, как его можно использовать вкупе с другими техниками.
#bugbounty #pentest #tools #tips
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥1
Для перебора файлов и директорий багхантеры зачастую используют общедоступные словари, но почему бы не создать кастомный словарь, в который будут входить релевантные вашему домену директории и файлы?
💡 Ловите однострочник, который автоматизирует рутинную работу:
🧰 httpx
🧰 anew
🧰 hakrawler + haklistgen
👩💻
🧰 httpx
🧰 anew
🧰 hakrawler + haklistgen
subfinder -silent -d hakluke.com | anew subdomains.txt | httpx -silent | anew urls.txt | hakrawler | anew endpoints.txt | while read url; do curl $url --insecure | haklisten | anew wordlist.txt; done cat subdomains.txt urls.t×t endpoints.txt | haklistgen | anewwordlist.txt;
#tips #bugbounty #recon #pentestPlease open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
🛞Учитель из России Татьяна Ерухимова уехала в США и занимается тем, чем должен заниматься любой нормальный учитель — прививает любовь к знаниям своим ученикам.
💬Всем бы таких учителей… А вы помните своего любимого учителя и предмет, который больше всего на вас повлиял?
#холивар
💬Всем бы таких учителей… А вы помните своего любимого учителя и предмет, который больше всего на вас повлиял?
#холивар
❤21👍9🥰2🥱1
Самые полезные каналы для программистов в одной подборке!
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
🐘PHP
Библиотека пхпшника
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие профильные каналы
Библиотека фронтендера
Библиотека шарписта
Библиотека мобильного разработчика
Библиотека хакера
Библиотека devops’a
Библиотека тестировщика
💼Каналы с вакансиями
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
Вакансии по DevOps & SRE
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook
🔸Instagram
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
🐘PHP
Библиотека пхпшника
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие профильные каналы
Библиотека фронтендера
Библиотека шарписта
Библиотека мобильного разработчика
Библиотека хакера
Библиотека devops’a
Библиотека тестировщика
💼Каналы с вакансиями
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
Вакансии по DevOps & SRE
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
❤1
💬Представьте ситуацию: вы работаете на Linux-машине, и вдруг что-то явно идет не так.
💥 Уровень нагрузки на процессор резко вырос, начались обращения на неизвестные ресурсы или пользователь www-data неожиданно оказался в группе wheel.
🪲Очевидно, что ничего хорошего на машине не происходит. Разбираемся, куда и что необходимо смотреть, чтобы провести первичный и самый простой анализ вредоносной активности.
#incident_response #guide
🪲Очевидно, что ничего хорошего на машине не происходит. Разбираемся, куда и что необходимо смотреть, чтобы провести первичный и самый простой анализ вредоносной активности.
#incident_response #guide
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Топ-10 артефактов Linux для расследования инцидентов
Лада Антипова из команды киберкриминалистов Angara SOC подготовила материал о полезных артефактах и инструментах при расследовании компьютерных атак. Материал с удовольствием опубликовали коллеги из...
👍5
1⃣ File Upload (Portswigger)
2⃣ Server-side Prototype Pollution (Portswigger)
3⃣ Воркшопы по XXE (GoSecure)
4⃣ SSRF (incredibleindishell)
#practice #pentest #bugbounty #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Раньше поиск можно было осуществлять только по имени проекта, но один проект (например, Metasploit-framework) содержит несколько пакетов и команд.
#tools #pentest #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥1
🔖 Новая функция
#tips #bugbounty
reportError() позволяет создать довольно забавный вектор XSS: сохраняйте в закладки#tips #bugbounty
🔥10😁2