🍊Подборка лучших статей «Библиотеки программиста» за декабрь: сохраняй в заметки, чтобы не пропустить #самыйсок

🛠️ 17 суперинструментов для разработки фронтенда
🏃 Самоучитель по Go для начинающих: часть 3 + часть 4
 🔟🏢 ТОП-10 российских IT-работодателей
📁💡Где программисту взять идеи для портфолио
🐍📋 F-строки в Python для интерполяции и форматирования строк
🤖 Машинное обучение: что это такое и как оно работает
🌎 ТОП-10: рейтинг лучших зарубежных работодателей в IT
🐍🤖✍️ Документирование кода и проектов на Python с помощью ChatGPT
📈 Обзор рынка труда в ИТ: III квартал 2023 года
🐍⚙️ Python или Rust: что выбрать для анализа данных и машинного обучения
🧠🧩 Зачем айтишнику психолог?
🐍🧫 Создаём игру «Жизнь» Джона Конвея на Python
👨‍🎓 14 бесплатных ресурсов, которые пригодятся каждому разработчику
✍️ Почему отсутствие технической документации убьёт ваш проект?
❓👨‍💻 Вопросы для подготовки к собеседованию по JavaScript. Часть 1
🎄🎁 10 абсурдных подарков программисту на Новый год
😺🐙✅ Как разобраться в Git: краткая инструкция для джунов
🔥 12 признаков выгорания или как понять, что вам пора в отпуск
⚙️✅📕 Ответы на вопросы для самопроверки из книги «Тестирование Дот Ком» Романа Савина
🏦⚠️ Борьба с ошибками разработки ПО в финтехе

🔥 Открыта традиционная номинация десяти топовых техник веб-хакинга 2023 года

Многие из исследований содержат инновационные идеи, ожидающие, пока тот самый белый хакер адаптирует их и объединит в новые открытия в будущем.

📌 Вот как выглядит список на текущий момент:

• Ransacking your password reset tokens
• mTLS: When certificate authentication is done wrong
• Smashing the state machine: the true potential of web race conditions
• Bypass firewalls with of-CORs and typo-squatting
• RCE via LDAP truncation on hg.mozilla.org
• Cookie Bugs - Smuggling & Injection
• OAuth 2.0 Redirect URI Validation Falls Short, Literally
• Prototype Pollution in Python - Abdulrah33m's Blog
• Pretalx Vulnerabilities: How to get accepted at every conference
• From Akamai to F5 to NTLM... with love.
• can I speak to your manager? hacking root EPP servers to take control of zones
• Blind CSS Exfiltration: exfiltrate unknown web pages
• Compromising F5 BIGIP with Request Smuggling
• Server-side prototype pollution: Black-box detection without the DoS
• Tricks for Reliable Split-Second DNS Rebinding in Chrome and Safari
• HTML Over the Wire
• SMTP Smuggling - Spoofing E-Mails Worldwide
• DOM-based race condition: racing in the browser for fun
• Metamask Snaps: Playing in the Sand
• You Are Not Where You Think You Are, Opera Browsers Address Bar Spoofing Vulnerabilities
• CVE-2022-4908: SOP bypass in Chrome using Navigation API
• Code Vulnerabilities Put Proton Mails at Risk

#hacking #pentest #bugbounty

👨‍🎓Как научиться выстраивать Kill Chain: пример построения цепочки атаки на практике от ИБ-специалистов из Security Vision.

👉 Читать

#incidentresponse #redteam

Самые полезные каналы для программистов в одной подборке!

Сохраняйте себе, чтобы не потерять 💾

🔥Для всех

Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы

#️⃣C#

Библиотека шарписта
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel

☁️DevOps

Библиотека devops’а
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования

🐘PHP

Библиотека пхпшника
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты

🐍Python

Библиотека питониста
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты

☕Java

Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков

👾Data Science

Библиотека Data Science — полезные статьи, новости и обучающие материалы
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту

🦫Go

Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go

🧠C++

Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++

💻Другие профильные каналы

Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика

💼Каналы с вакансиями

Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности

📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈

🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT

Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *

* Организация Meta запрещена на территории РФ

Любопытная логическая уязвимость в Gitlab, которая в очередной раз доказывает, насколько важно исследовать веб-приложение не просто «в лоб», а проявлять творческий подход к фаззингу.

CVE-2023-7028 позволяет переопределить почту в механизме восстановления пароля, передав специально сформированный запрос, в котором в нулевом элементе массива будет валидный email, а в следующем — почта злоумышленника:

user[email][]=valid@email.com&user[email][]=attacker@email.com

Уязвимости подверженны версии GitLab 16.7.2, 16.6.4 и 16.5.6, в которых появилась возможность отправки кода восстановления пароля на неверифицированный запасной email.

Для проверки фактов компрометации систем проанализируйте логи gitlab-rails/production_json.log на наличие HTTP-запросов к обработчику /users/password с указанием массива из нескольких email в параметре params.value.email. Также можно проверить наличие в логе gitlab-rails/audit_json.log записей со значением PasswordsController#create в meta.caller.id и указанием массива из нескольких адресов в блоке target_details. Атака не может быть доведена до конца при включении пользователем двухфакторной аутентификации.

#CVE #pentest

Хорошие новости для этичных хакеров, у которых есть подписка на GPT-4: известный багхантер Jason Haddix представил GPTs под названием SecGPT, который использует новейшие исследования и глубоко погружается в технические темы. Используйте его в качестве собеседника и своего помощника.

#tools #bugbounty #pentest

💬 Опишите различные способы использования PHP include() для выполнения произвольного кода.

1. Запись PHP-кода в локальный файл и его подключение через абсолютные пути, обход директорий или схему file://.
2. Размещение PHP-кода на удаленном сервере и его подключение с использованием схем http://, ftp:// и т. д.
3. Использование php://input для чтения и выполнения необработанного PHP-кода из тела POST-запроса.
4. Использование цепочек фильтров PHP (php://filter) для создания исполняемого PHP-кода.
5. Использование схемы data:// для передачи необработанного PHP-кода как обычного текста или в виде строки, закодированной в Base64.

#вопросы_с_собесов

🤔 Пентестеры и Red Team специалисты знают, что если использовать Impacket при работе в Windows-сетях «в лоб», шансов остаться незамеченным очень мало. А что, если объединить Impacket и возможности SSPI?

☑️ В таком случае эффективность скрытной работы повышается. Реализовано и проверено Сергеем Яшиным из команды PT SWARM.

#redteam #tools

Microsoft Exchange во всем мире несколько лет назад. Кто знает — тот поймет.

#humor

🧑‍💻 Статьи для IT: как объяснять и распространять значимые идеи

Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.

Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.

Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.

👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.