👨‍🏫 Команда Академии Кодебай представила бесплатный вводный курс для новичков в кибербезе. Предварительных специализированных знаний для начала обучения не требуется.

😎Он охватывает основы обнаружения, эксплуатации и защиты от уязвимостей в веб-приложениях.

✔️1 урок — Введение
✔️2 урок — CMD Injection & PHP Code Injection
✔️3 урок — XXE
✔️4 урок — XSS & CSRF
✔️5 урок — SSTI

#learning #basics #pentest #bugbounty

👨‍💻Информационная безопасность с нуля

Плейлист с видеоуроками для этичного хакера на различные темы: от базовых терминов и внутреннего устройства Windows/Linux до разбора принципов работы ключевых протоколов и использования Kali Linux.

📺 Смотреть

#practice #security

🤔 Как найти информацию о ком угодно?

🔎Конечно, с помощью OSINT. Ловите обзор сервисов и инструментов, которые позволят с легкостью выполнить пять этапов OSINT:

1️⃣ Определение источников информации
2️⃣ Сбор данных
3️⃣ Обработка и интеграция данных
4️⃣ Анализ данных
5️⃣ Предоставление результатов

👉 Читайте на Medium или в PDF

#tools #OSINT

🕵️‍♂️ Sherlock Linux — дистрибутив с открытым исходным кодом на основе Debian, содержащий все необходимые инструменты для получения информации из открытых источников в ходе OSINT-расследований.

Дистрибутив включает множество приложений и инструментов, которые значительно упростят и повысят эффективность OSINT. Единственный нюанс — локаль на испанском. Но это ведь не проблема?! 😉

#linux #OSINT

🤔 Многие этичные хакеры использовали или используют Linux, но только немногие знают, как работает процесс загрузки системы.

📌 На диаграмме показаны шаги, наиболее относящиеся к ПК:

1️⃣ Когда мы включаем питание, загружается BIOS (Basic Input/Output System) или UEFI (Unified Extensible Firmware Interface) из неизменяемой памяти, и выполняется POST (Power On Self Test).
2️⃣ BIOS/UEFI определяет подключенные к системе устройства, включая CPU, RAM и накопители.
3️⃣ Выбор устройства загрузки для запуска ОС. Это может быть жесткий диск, сетевой сервер, CD-ROM или USB.
4️⃣ BIOS/UEFI запускает загрузчик (GRUB), который предоставляет меню для выбора ОС или функций ядра.
5️⃣ После того как ядро готово, мы переходим в user space. Ядро запускает systemd как первый процесс, который управляет процессами и службами, обнаруживает оставшееся оборудование, монтирует файловые системы и запускает рабочую среду.
6️⃣ systemd активирует default.target unit по умолчанию при загрузке системы. Выполняются и другие аналитические юниты.
7️⃣ Система выполняет набор стартовых скриптов и настраивает среду.
8️⃣ Пользователям представляется окно входа в систему. Система готова к работе.

👉 Источник

#basics #linux

🧰 NoSQLMap — инструмент для автоматизации проведения атак на базы данных NoSQL и веб-приложения, которые их используют.

👉 GitHub

#tools #pentest

🤔 Как подходить к программам багбаунти с ограниченным скоупом?

Что делать, если в скоупе только один сайт? Помимо базовых уязвимостей и ошибок бизнес-логики, стоит обратить внимание на следующее:

1️⃣ Проверьте мобильные приложения (даже если нет в скоупе) и вызываемые API-эндпоинты.

2️⃣ Тщательно проанализируйте все JavaScript-файлы.

3️⃣ Исследуйте премиум-функции приложения. Часто доступны схемы бесплатных пробных версий или пакеты с гарантией возврата денег. С премиум-аккаунтом перед вами может открыться совсем другой функционал.

#tips #bugbounty

👁Помогите «Библиотеке программиста» в новом исследовании аудитории

Пожалуйста, ответьте на несколько вопросов — это не займет много вашего времени.

Первая часть опроса 👇

🔎Ранее мы публиковали разбор HTB: Snoopy на английском, но это действительно интересная и сложная машина, поэтому публикуем пошаговый райтап на русском.

Внутри подробное объяснение и ссылки на шпаргалки:

👉 Часть 1
👉 Часть 2

#writeup #pentest

🤔 Как еще можно найти и проэксплуатировать XXE, кроме загрузки XML через форму?

Многие форматы файлов используют XML в качестве основы и могут привести к XXE. В качестве примеров можно привести SVG, документы Microsoft (docx, xlsx и другие) и другие языки разметки, такие как KML.

Кроме того, сервисы SOAP используют запросы в формате XML. В некоторых случаях API, которые по умолчанию используют входные данные в формате JSON, также будут принимать те же входные данные, что и XML.

Где искать XXE?
✅ Веб-сервисы и API
✅ Загрузка файлов
✅ Обработка XML в мобильных приложениях
✅ Обработка документов в формате XML
✅ SOAP-запросы и обработка SAML-ответов

#tips #bugbounty #pentest #вопросы_с_собесов