😎Выполнение кода на целевой системе может быть достигнуто различными способами и с помощью нескольких типов уязвимостей.
🤑️Ловите подборку трех популярных инструментов, которые помогут вам их выявить и использовать👇
1⃣ Tplmap — сканер, который автоматизирует поиск инъекции кода/шаблонов Server-Side (SSTI) и эксплуатацию уязвимостей SSTI.
2️⃣ Fuxploider — инструмент, который поможет использовать различные баги в функционале загрузки файлов, ведь именно этот функционал обычно позволяет загрузить веб-шелл и исполнить код.
3️⃣ SQLMap — популярный инструмент для эксплуатации SQL-инъекций, который среди прочего обеспечивает поддержку для автоматизации повышения привилегий и удаленного выполнения кода.
#pentest #redteam #bugbounty #tools
🤑️Ловите подборку трех популярных инструментов, которые помогут вам их выявить и использовать👇
1⃣ Tplmap — сканер, который автоматизирует поиск инъекции кода/шаблонов Server-Side (SSTI) и эксплуатацию уязвимостей SSTI.
2️⃣ Fuxploider — инструмент, который поможет использовать различные баги в функционале загрузки файлов, ведь именно этот функционал обычно позволяет загрузить веб-шелл и исполнить код.
3️⃣ SQLMap — популярный инструмент для эксплуатации SQL-инъекций, который среди прочего обеспечивает поддержку для автоматизации повышения привилегий и удаленного выполнения кода.
#pentest #redteam #bugbounty #tools
👍5
Ты ж программист — универсальная профессия, которая охватывает абсолютно все. Она вам точно знакома. А теперь поделитесь самым топовым вопросом к вам, который начинался с «ты ж программист …»
Anonymous Poll
44%
Можешь починить [название рандомной техники]?
39%
Можешь установить [название рандомной программы]?
25%
Можешь удалить все вирусы на компьютере?
13%
Что думаешь о биткоинах?
36%
Почему мой телефон так медленно работает?
35%
Можешь взломать мой старый аккаунт в соцсети?
34%
Можешь переустановить Windows?
18%
Что лучше: Android или iPhone?
7%
Свой вариант (напишу в комментариях)
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
👍1
The_Art_of_Monitoring_Bug_Bounty_Programs_by_YoungVanda_Sep,_2023.pdf
2.6 MB
А если автоматизируете этот процесс, успех будет точно гарантирован. Ловите гайд, в котором как раз представлен инструмент для автоматизации мониторинга программ багбаунти и приведены мысли, как его можно использовать вкупе с другими техниками.
#bugbounty #pentest #tools #tips
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥1
Для перебора файлов и директорий багхантеры зачастую используют общедоступные словари, но почему бы не создать кастомный словарь, в который будут входить релевантные вашему домену директории и файлы?
💡 Ловите однострочник, который автоматизирует рутинную работу:
🧰 httpx
🧰 anew
🧰 hakrawler + haklistgen
👩💻
🧰 httpx
🧰 anew
🧰 hakrawler + haklistgen
subfinder -silent -d hakluke.com | anew subdomains.txt | httpx -silent | anew urls.txt | hakrawler | anew endpoints.txt | while read url; do curl $url --insecure | haklisten | anew wordlist.txt; done cat subdomains.txt urls.t×t endpoints.txt | haklistgen | anewwordlist.txt;
#tips #bugbounty #recon #pentestPlease open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥1
This media is not supported in your browser
VIEW IN TELEGRAM
🛞Учитель из России Татьяна Ерухимова уехала в США и занимается тем, чем должен заниматься любой нормальный учитель — прививает любовь к знаниям своим ученикам.
💬Всем бы таких учителей… А вы помните своего любимого учителя и предмет, который больше всего на вас повлиял?
#холивар
💬Всем бы таких учителей… А вы помните своего любимого учителя и предмет, который больше всего на вас повлиял?
#холивар
❤21👍9🥰2🥱1
Самые полезные каналы для программистов в одной подборке!
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
🐘PHP
Библиотека пхпшника
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие профильные каналы
Библиотека фронтендера
Библиотека шарписта
Библиотека мобильного разработчика
Библиотека хакера
Библиотека devops’a
Библиотека тестировщика
💼Каналы с вакансиями
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
Вакансии по DevOps & SRE
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook
🔸Instagram
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
🐘PHP
Библиотека пхпшника
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие профильные каналы
Библиотека фронтендера
Библиотека шарписта
Библиотека мобильного разработчика
Библиотека хакера
Библиотека devops’a
Библиотека тестировщика
💼Каналы с вакансиями
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
Вакансии по DevOps & SRE
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
❤1
💬Представьте ситуацию: вы работаете на Linux-машине, и вдруг что-то явно идет не так.
💥 Уровень нагрузки на процессор резко вырос, начались обращения на неизвестные ресурсы или пользователь www-data неожиданно оказался в группе wheel.
🪲Очевидно, что ничего хорошего на машине не происходит. Разбираемся, куда и что необходимо смотреть, чтобы провести первичный и самый простой анализ вредоносной активности.
#incident_response #guide
🪲Очевидно, что ничего хорошего на машине не происходит. Разбираемся, куда и что необходимо смотреть, чтобы провести первичный и самый простой анализ вредоносной активности.
#incident_response #guide
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Топ-10 артефактов Linux для расследования инцидентов
Лада Антипова из команды киберкриминалистов Angara SOC подготовила материал о полезных артефактах и инструментах при расследовании компьютерных атак. Материал с удовольствием опубликовали коллеги из...
👍5
1⃣ File Upload (Portswigger)
2⃣ Server-side Prototype Pollution (Portswigger)
3⃣ Воркшопы по XXE (GoSecure)
4⃣ SSRF (incredibleindishell)
#practice #pentest #bugbounty #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
👍12
Раньше поиск можно было осуществлять только по имени проекта, но один проект (например, Metasploit-framework) содержит несколько пакетов и команд.
#tools #pentest #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥1
🔖 Новая функция
#tips #bugbounty
reportError() позволяет создать довольно забавный вектор XSS: сохраняйте в закладки#tips #bugbounty
🔥10😁2
☝️Помните, что в ходе багхантинга за отсутствие этих заголовков вы не получите вознаграждение, однако в случае их отсутствия вы сможете объединить баги и добиться наибольшей критичности.
🔐Под катом — гайд о том, какие HTTP-заголовки необходимо использовать для защиты веб-приложения.
#pentest #bugbounty #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9❤2
⚒Это инструмент для краулинга, парсинга и поиска информации. Что-то вроде режима Spider в Burp Suite, только через CLI и более функциональный.
1️⃣Вы можете сканировать веб-сайты в стандартном режиме или в режиме headless (
-hl). Для краулинга JavaScript-файлов добавьте -jc.$
katana -u http://testphp.vulnweb. com$
katana -u http://testphp.vulnweb. com -hl$
katana -list url_list.txt -jc2️⃣Вы можете отфильтровать результаты, чтобы показывать только URL-адреса, путь, файл и многое другое. Используйте
-em для сопоставления расширения файла и -ef для фильтрации выходных данных$
katana -u http://testphp.vulnweb. com -fields path$
katana -u http://testphp.vulnweb. com -fields file$
katana -u http://testphp.vulnweb. com -fields dir$
katana -u http://testphp.vulnweb. com -em php,js,txt$
katana -u http://testphp.vulnweb. com -ef png,gif,woff3️⃣Вы можете вывести результаты в файл в формате json (
-j) или выбрать silent режим.$
katana -u http://testphp.vulnweb. com -o out$
katana -u http://testphp.vulnweb. com -j -o out.json$
katana -u http://testphp.vulnweb. com -silent4️⃣Отрегулируйте конкурентность, параллелизм, задержку и ограничение скорости.
$
katana -u http://testphp.vulnweb. com -d 10 -c 5$
katana -list targets.txt -p 5 -delay 12$
katana -u http://testphp.vulnweb. com -rl 205️⃣Используйте
-cs для обхода определенной строки URL, а -cos — для исключения указанной строки; -fs fqdn для сканирования всего домена.$
katana -u http://site. com -cs images $
katana -u http://site. com -cos admin $
katana -u http://test.site. com -fs fqdn6️⃣Напоследок несколько полезных опций.
Depth
$
katana -u http://site. com -depth 10Timeout
$
katana -u http://site. com -timeout 20Proxy
$
katana -u http://site. com -proxy http://127.0.0.1:8080#tips #bugbounty #recon #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥1🥱1
Forwarded from Библиотека джависта | Java, Spring, Maven, Hibernate
🐧📖 ТОП-10 книг по Linux в 2023 году
Популярные книги по изучению Linux на русском языке, опубликованные за последние несколько лет.
Читать статью
Популярные книги по изучению Linux на русском языке, опубликованные за последние несколько лет.
Читать статью
🔥7