#pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4😁3😢2
📦 HTB Drive: повышаем привилегии через собственный модуль SQLite
📦 HTB Visual: захватываем сервер на Windows через проект Visual Studio
📦 HTB CozyHosting: эксплуатируем инъекцию команд в веб-приложении на Java
📦 HTB Appsanity: используем DLL Hijacking для повышения привилегий
📦 HTB Manager: повышаем привилегии в Active Directory через технику ESC7
📦 HTB Analytics: используем баг в OverlayFS, чтобы сбежать из Docker
#writeup #pentest #чтопроисходит
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Forwarded from Библиотека нейросетей | ChatGPT, Midjourney, DeepSeek, Sora
Умение быстро находить решения сложных задач — один из самых важных навыков разработчика. Но найти по-настоящему полезную информацию в лавинообразном потоке SEO-оптимизированного контента бывает нелегко. На помощь придут ИИ-поисковики: они могут отыскать ответ на самый размытый запрос, а при необходимости — сгенерируют собственное решение.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰3❤1👍1
📄 Шпаргалки и гайды для этичного хакера
Автор собрал в одном репозиториии шпаргалки и руководства, которые использует в работе и которые помогли при получении ИБ-сертификатов:
🔹 Windows Commands Cheat Sheet
🔹 Linux Commands Cheat Sheet
🔹 Red Team Manual
🔹 Zero-Point RTO I (Cobalt Strike)
🔹 Zero-Point RTO II (C2 Infrastructure & Defence Evasion)
🔸 OSCP: Your BS-less Guide to Acing OSCP
🔸 CRTO: Your To the Point Guide on Pwning Zero-Point RTO
#cheatsheet #pentest #security #guide
Автор собрал в одном репозиториии шпаргалки и руководства, которые использует в работе и которые помогли при получении ИБ-сертификатов:
🔹 Windows Commands Cheat Sheet
🔹 Linux Commands Cheat Sheet
🔹 Red Team Manual
🔹 Zero-Point RTO I (Cobalt Strike)
🔹 Zero-Point RTO II (C2 Infrastructure & Defence Evasion)
🔸 OSCP: Your BS-less Guide to Acing OSCP
🔸 CRTO: Your To the Point Guide on Pwning Zero-Point RTO
#cheatsheet #pentest #security #guide
GitHub
GitHub - RedefiningReality/Cheatsheets: A collection of all my personal cheat sheets and guides as I progress through my career…
A collection of all my personal cheat sheets and guides as I progress through my career in offensive security. - RedefiningReality/Cheatsheets
👍5
🤦♂️ Бэкдор, обнаруженный в широко используемой утилите Linux, взламывает зашифрованные SSH-соединения (никогда такого не было, и вот опять)
🤨 Исследователи обнаружили бэкдор в утилите для сжатия данных xz Utils, которая вошла в широко используемые дистрибутивы Linux, включая Red Hat и Debian. Хотя не было известно о включении этих версий в какие-либо продакшн выпуски крупных дистрибутивов Linux, как Red Hat, так и Debian сообщили, что недавно опубликованные бета-версии использовали, по крайней мере, одну из версий с бэкдором, а именно в Fedora Rawhide и Debian testing, unstable и experimental дистрибутивах.
🤯 Первые признаки были выявлены в обновлении от 23 февраля, которое добавило обфусцированный код. В последующем обновлении был включен установочный скрипт, который интегрировался в функции, используемые sshd. Злонамеренные изменения были внесены одним из основных разрабов xz Utils, JiaT75, который контрибьютил проект на протяжении многих лет.
🥷 Бэкдор намеренно мешает аутентификации, выполняемой посредством SSH. Он позволяет злоумышленнику нарушить аутентификацию и, таким образом, получить доступ ко всей системе.
#news #security
🤯 Первые признаки были выявлены в обновлении от 23 февраля, которое добавило обфусцированный код. В последующем обновлении был включен установочный скрипт, который интегрировался в функции, используемые sshd. Злонамеренные изменения были внесены одним из основных разрабов xz Utils, JiaT75, который контрибьютил проект на протяжении многих лет.
🥷 Бэкдор намеренно мешает аутентификации, выполняемой посредством SSH. Он позволяет злоумышленнику нарушить аутентификацию и, таким образом, получить доступ ко всей системе.
#news #security
Please open Telegram to view this post
VIEW IN TELEGRAM
👾7👍3
Рамазан поясняет про выбор багбаунти-программы для взлома 👇
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Forwarded from Bounty On Coffee
Как я выбираю программу для взлома?
Есть несколько вещей, которые я учитываю при выборе программы.
1️⃣ . Сумма выплат
2️⃣ . Интересный скоуп (это субъективно, для меня - это то чем я пользуюсь в повседневной жизни)
3️⃣ . Сложный или уникальный скоуп
4️⃣ . Дырявое приложение
5️⃣ . Быстрота обработки репортов (с момента сдачи до выплаты (фикса))
6️⃣ . Соответствие ожиданий, ваших и вендора
Все эти пункты учитываются по разному в зависимости от ситуации, а именно:
❗️ Новая программа
В данной ситуации в первую очередь смотрю на скоуп, внешку обычно никогда не рассматриваю, как цель.
➖ Интересный скоуп - если это вендор, которым я пользуюсь в повседневной жизни, например, Тинькофф
➖ Сложное или дырявое приложение. Для этого поверхностно изучаю приложение, читаю документацию, смотрю что можно сделать и быстро прикидываю вектора атак для приложения.
➖ И в последнюю очередь обычно смотрю на сумму выплат. Но если разница в выплатах существенная, то в приоритет конечно же ставлю ту, где выплаты больше. Но на данных момент у большинства программ максимальные выплаты до 250к и разница не существенная, кроме нескольких.
❗️ Программа, которую уже ломали
В данной ситуации алгоритм действия немного отличается.
➖ Соответствие ожиданий. Тут имеется ввиду, что вас устраивает, то что предлагает программа. Например, программа предлагает за RCE - 1кк, за SQLi - 100к, за IDOR - 50к. Такое меня не устраивает, так как не соответствует моему способу поиска багов.
➖ Быстрота обработки репортов. Долгая обработка репортов лично меня очень сильно раздражает, если на то нет причин, которые не зависят от программы. Поэтому такие программы сразу мимо.
➖ И дальше уже учитываю - сумму выплат, интересный/сложный/дырявый скоуп.
А как выбираете Вы ?
#bugbounty #strategic
Есть несколько вещей, которые я учитываю при выборе программы.
Все эти пункты учитываются по разному в зависимости от ситуации, а именно:
В данной ситуации в первую очередь смотрю на скоуп, внешку обычно никогда не рассматриваю, как цель.
В данной ситуации алгоритм действия немного отличается.
А как выбираете Вы ?
#bugbounty #strategic
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥1
⚡️Раскрытие тенденций поведения вредоносных программ: на заметку этичному хакеру
Анализ набора данных Windows, содержащего более 100 000 вредоносных файлов, проведенный Elastic Security Labs.
👉 Читать
#malware #analytics
Анализ набора данных Windows, содержащего более 100 000 вредоносных файлов, проведенный Elastic Security Labs.
👉 Читать
#malware #analytics
👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
👏16👾5🌚2👍1
Разработчик Jia Tan получил права мэйнтейнера пакета xz в 2022 году и внедрил бэкдор. Скомпрометированы не только релизы xz, но и проекты на его основе:
🔗Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
👏9😁2👍1
Forwarded from Библиотека питониста | Python, Django, Flask
💬 Как изменился ваш информационный пузырь за год?
Помните свои информационные предпочтения год назад? Многое изменилось! Социальные сети, мессенджеры, YouTube, подкасты — все эти каналы ежедневно борются за наше внимание. У каждого из нас за год сформировался свой уникальный информационный рацион. Пройдите наш опрос и расскажите, как изменились ваши вкусы в медиапотреблении.
👉 Пройти опрос
Опрос займёт у вас примерно 4 минуты.
Помните свои информационные предпочтения год назад? Многое изменилось! Социальные сети, мессенджеры, YouTube, подкасты — все эти каналы ежедневно борются за наше внимание. У каждого из нас за год сформировался свой уникальный информационный рацион. Пройдите наш опрос и расскажите, как изменились ваши вкусы в медиапотреблении.
👉 Пройти опрос
Опрос займёт у вас примерно 4 минуты.
👍3
⚒️ TInjA — CLI-инструмент для тестирования веб-уязвимостей template injection (SSTI + CSTI), который поддерживает 44 наиболее подходящих механизма шаблонов для восьми различных ЯП.
👉 GitHub
#pentest #bugbounty #tools
👉 GitHub
#pentest #bugbounty #tools
GitHub
GitHub - Hackmanit/TInjA: TInjA is a CLI tool for testing web pages for template injection vulnerabilities and supports 44 of the…
TInjA is a CLI tool for testing web pages for template injection vulnerabilities and supports 44 of the most relevant template engines for eight different programming languages. - Hackmanit/TInjA
🔥6
Audio
🎸💯 «Идущий к реке» — rock edition
Что если бы знаменитый монолог был песней? Гадать больше не надо — на помощь приходят нейросети!
👉 О том, какая именно нейросеть помогла нам это сделать, читайте в нашем новом канале — Библиотека нейрозвука
Подписывайтесь, там много интересного!
Что если бы знаменитый монолог был песней? Гадать больше не надо — на помощь приходят нейросети!
Подписывайтесь, там много интересного!
Please open Telegram to view this post
VIEW IN TELEGRAM
🥱5👍3👏1🤩1
Forwarded from Библиотека программиста | программирование, кодинг, разработка
This media is not supported in your browser
VIEW IN TELEGRAM
🛤 Дорожная карта для вкатывания в кибербезопасность
🔹 Архитектура безопасности
🔹 Фреймворки и стандарты
🔹 Безопасность приложений
🔹 Оценка рисков
🔹 Управление корпоративными рисками
🔹 Threat Intelligence
🔹 Security Operation
👉 Источник
#инфографика
🔹 Архитектура безопасности
🔹 Фреймворки и стандарты
🔹 Безопасность приложений
🔹 Оценка рисков
🔹 Управление корпоративными рисками
🔹 Threat Intelligence
🔹 Security Operation
👉 Источник
#инфографика
👍7
🆕👾 Команда Bi.Zone раскрыла главные мотивы хакеров, атакующих российскую инфраструктуру
📌 Что к чему:
☑️ 76% хакеров, атакующих российские компании, движимы финансовой выгодой.
☑️ Среди них есть как опытные профессионалы, так и новички с низким уровнем подготовки.
☑️ Основной способ получения доступа — фишинг.
☑️ Для публикации сообщений об атаках и утечках данных активно используются Telegram-каналы
👉 И еще много интересного
#analytics #hacking #news
📌 Что к чему:
☑️ 76% хакеров, атакующих российские компании, движимы финансовой выгодой.
☑️ Среди них есть как опытные профессионалы, так и новички с низким уровнем подготовки.
☑️ Основной способ получения доступа — фишинг.
☑️ Для публикации сообщений об атаках и утечках данных активно используются Telegram-каналы
👉 И еще много интересного
#analytics #hacking #news
🥱5👍2❤1
Стрессуете на работе?
Anonymous Poll
44%
Ага, особенно когда завтра дедлайн
28%
Нет, работа — кайф
2%
Свой вариант (напишу в комментариях)
26%
Посмотреть результаты
👍4