#tools #OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2
🏭 Если вы занимаетесь пентестом/редтимом, часто во внутренней инфраструктуре заказчика могли встретить программируемые логические контроллеры (ПЛК), устройства, используемые для управления процессами в промышленности.
🧰 Оказывается, у Microsoft есть опенсорсный фреймворк для форензики таких устройств, точнее, для анализа метаданных и файлов проектов ПЛК.
✔️ Он предоставляет удобный способ сканирования ПЛК и выявления любых подозрительных артефактов в окружениях АСУ ТП, которые можно использовать для ручной проверки, задач автоматического мониторинга или операций реагирования на инциденты для обнаружения скомпрометированных устройств. И да, его можно кастомизировать под свои потребности.
👩💻 GitHub
#pentest #redteam #tools
#pentest #redteam #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6
Какой системой управления личным временем/задачами/делами пользуетесь?
Anonymous Poll
14%
В форме доски: Trello/Kaiten
15%
В форме базы знаний: Notion
4%
Самописная система
9%
Что-то простое с делами в столбик
18%
Дела списком в бумажном блокноте
4%
Напоминалки в мессенджере
17%
Напоминалки в календаре
23%
Никакой
4%
Свой вариант (напишу в комментариях)
22%
Посмотреть результаты
🤔2👍1
Forwarded from Библиотека нейросетей | ChatGPT, Midjourney, DeepSeek, Sora
Вы когда-нибудь задумывались, как можно использовать искусственный интеллект для того, чтобы подготовиться к техническим собеседованиям лучше, быстрее и эффективнее? Мы вот — да! И поэтому подготовили 55 промтов, которые помогут сделать это.
В статье собраны шаблоны запросов, которые желательно «докрутить» под себя.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
This media is not supported in your browser
VIEW IN TELEGRAM
:%norm для выполнения команды в режиме normal для каждой строки файла👇:%norm csw"A: "",
#tips
Please open Telegram to view this post
VIEW IN TELEGRAM
👍18🔥4
💡 Active Directory Cheat Sheet — репозиторий, в котором вы найдете общую методологию работы в Active Directory. Внутри — набор быстрых команд из наиболее эффективных инструментов на базе Powershell, C, .Net 3.5 и .Net 4.5.
🥷 Репозиторий не самый актуальный, но для начинающих подойдет отлично, чтобы понять фундаментальные основы.
• Recon
• Domain Enum
• Local Privilege Escalation
• Local Account Stealing
• Monitor Potential Incoming Account
• Local Account Stealing
• Admin Recon
• Lateral Movement
• Remote Administration
• Domain Admin Privileges
• Cross Trust Attacks
• Persistance and Exfiltrate
👉 GitHub
#redteam #pentest #cheatsheet
🥷 Репозиторий не самый актуальный, но для начинающих подойдет отлично, чтобы понять фундаментальные основы.
• Recon
• Domain Enum
• Local Privilege Escalation
• Local Account Stealing
• Monitor Potential Incoming Account
• Local Account Stealing
• Admin Recon
• Lateral Movement
• Remote Administration
• Domain Admin Privileges
• Cross Trust Attacks
• Persistance and Exfiltrate
👉 GitHub
#redteam #pentest #cheatsheet
👏3🥰2❤1
This media is not supported in your browser
VIEW IN TELEGRAM
💡 Сортировка строк в #vim:
• :sort — сортировка всех строк
• :sort! — сортировка в обратном порядке
• :sort u — удаление дубликатов и сортировка
• :sort i — игнорировать регистр
• :sort n — числовая сортировка (особенно полезна, когда нужно убедиться, что числа упорядочены по их числовому значению, а не алфавитно, как строки)
👉 Подробнее
#tips
• :sort — сортировка всех строк
• :sort! — сортировка в обратном порядке
• :sort u — удаление дубликатов и сортировка
• :sort i — игнорировать регистр
• :sort n — числовая сортировка (особенно полезна, когда нужно убедиться, что числа упорядочены по их числовому значению, а не алфавитно, как строки)
👉 Подробнее
#tips
👍8❤1
🥷 Выявление и эксплуатация уязвимости внедрения кода, приводящая к RCE в веб-приложении на .NET
В ходе пентеста веб-приложения автор выявил функционал, который используется бизнес-аналитиками для организации заявок. Аналитики определяют шаблоны для упрощения создания электронных писем, заметок и текстовых сообщений, содержащих различные метаданные о происшествиях👇
☑️ Поля форм принимали выражения, заключенные в
☑️ Приложение допускало использование функций для строк, таких как
☑️ Использование таких функций позволило внедрить и выполнить методы .NET, такие как
👉 Подробнее
#pentest #bugbounty #writeup
В ходе пентеста веб-приложения автор выявил функционал, который используется бизнес-аналитиками для организации заявок. Аналитики определяют шаблоны для упрощения создания электронных писем, заметок и текстовых сообщений, содержащих различные метаданные о происшествиях👇
☑️ Поля форм принимали выражения, заключенные в
<% и %>.☑️ Приложение допускало использование функций для строк, таких как
IsNullOrWhitespace, Substring, StartsWith, PadLeft, ToUpperInvariant. Эти функции оказались частью класса String в .NET Framework.☑️ Использование таких функций позволило внедрить и выполнить методы .NET, такие как
System.Net.Dns.GetHostName(), который возвращает имя хоста системы. Это подтвердило возможность внедрения кода.👉 Подробнее
#pentest #bugbounty #writeup
Stratum Security Blog
Code Injection to RCE with .NET
During a security assessment for a client’s web application, I encountered a feature that allowed users to define templates containing expressions, specifically for operations related to mathematics, logic, and strings. These templates contained expressions…
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
👍1
💡 Если в ходе багбаунти/пентеста вы встретили веб-приложение на Symfony, проверьте наличие дебаг режима (
#tips #bugbounty #pentest
/app_dev.php) и возможности чтения конфига: /app_dev.php/_profiler/open?file=app/config/parameters.yml#tips #bugbounty #pentest
Forwarded from Библиотека программиста | программирование, кодинг, разработка
🥑 Подборка лучших статей «Библиотеки программиста» за апрель: сохраняй в заметки, чтобы не пропустить #самыйсок
🐛 7 признаков неопытного программиста
🐍📖 ТОП-10 книг по Python для начинающих программистов в 2024 году
✍️ Как написать отличную документацию
🐍🛠️ 32 инструмента для Python, которые помогут писать профессиональный код
🤖👾 Как злоумышленники взламывают LLM: 7 ключевых стратегий
🤖✍️ Как работают LLM: простое объяснение через аналогию с кулинарией
⚙️ Названия веток и комментарии к коммитам в Git: лучшие практики
🙅♂️ Дискриминация на работе: в чем проявляется и что делать, если вы с ней столкнулись
🧑💻 Как я входил в IT: опыт подписчиков «Библиотеки программиста»
🛠️ Что такое прогрессивные веб-приложения
🌐 Использование глобальной контрольной группы на практике: тонкости, нюансы, подводные камни
🤖🛠️ 4 полезных инструмента для работы с ИИ: RAGFlow, The Pipe, UFO и SWE-agent
▶️ Как оживить фронтенд: 8 лучших JS-библиотек для анимации
🤺 Искусство оскорблять: как поставить коллегу на место и отбить желание работать над проектом
🎸 10 причин, по которым стоит выбрать Django вместо FastAPI
🐍❌ 10 основных ошибок начинающих Python-разработчиков
🏃 🏃 Самоучитель по Go для начинающих. Часть 11. Обработка ошибок. Паника. Восстановление. Логирование
🤖💣 ИИ-ассистенты разработчика: скрытая угроза
🔍💼 Исследование рынка: 8 наиболее востребованных языков программирования в 2024 году
🤖🔢 Математические основы генеративных нейронных сетей: что нужно знать для их изучения
🗿🔨 Как мы разбили монолит на маленькие кусочки и что из этого вышло
📖 ТОП-7 книг по C# для начинающих разработчиков в 2024 году
⚛️💥 React 19 уничтожит все фреймворки
🗺️💼 Из Москвы в Дублин: опыт российского разработчика из Amazon
🐍🤔 «Задумчивый» код: временная сложность операций со структурами данных в Python
🤖🖼️ Как работают визуальные трансформеры: магия превращения пикселей в знания
🐰 Как решить проблему высокой связанности сервисов с помощью событийно-ориентированной архитектуры и RabbitMQ
🐛 7 признаков неопытного программиста
🐍📖 ТОП-10 книг по Python для начинающих программистов в 2024 году
✍️ Как написать отличную документацию
🐍🛠️ 32 инструмента для Python, которые помогут писать профессиональный код
🤖👾 Как злоумышленники взламывают LLM: 7 ключевых стратегий
🤖✍️ Как работают LLM: простое объяснение через аналогию с кулинарией
⚙️ Названия веток и комментарии к коммитам в Git: лучшие практики
🙅♂️ Дискриминация на работе: в чем проявляется и что делать, если вы с ней столкнулись
🧑💻 Как я входил в IT: опыт подписчиков «Библиотеки программиста»
🛠️ Что такое прогрессивные веб-приложения
🌐 Использование глобальной контрольной группы на практике: тонкости, нюансы, подводные камни
🤖🛠️ 4 полезных инструмента для работы с ИИ: RAGFlow, The Pipe, UFO и SWE-agent
▶️ Как оживить фронтенд: 8 лучших JS-библиотек для анимации
🤺 Искусство оскорблять: как поставить коллегу на место и отбить желание работать над проектом
🎸 10 причин, по которым стоит выбрать Django вместо FastAPI
🐍❌ 10 основных ошибок начинающих Python-разработчиков
🏃 🏃 Самоучитель по Go для начинающих. Часть 11. Обработка ошибок. Паника. Восстановление. Логирование
🤖💣 ИИ-ассистенты разработчика: скрытая угроза
🔍💼 Исследование рынка: 8 наиболее востребованных языков программирования в 2024 году
🤖🔢 Математические основы генеративных нейронных сетей: что нужно знать для их изучения
🗿🔨 Как мы разбили монолит на маленькие кусочки и что из этого вышло
📖 ТОП-7 книг по C# для начинающих разработчиков в 2024 году
⚛️💥 React 19 уничтожит все фреймворки
🗺️💼 Из Москвы в Дублин: опыт российского разработчика из Amazon
🐍🤔 «Задумчивый» код: временная сложность операций со структурами данных в Python
🤖🖼️ Как работают визуальные трансформеры: магия превращения пикселей в знания
🐰 Как решить проблему высокой связанности сервисов с помощью событийно-ориентированной архитектуры и RabbitMQ
This media is not supported in your browser
VIEW IN TELEGRAM
Используйте команду
#tips
:set cuc в #vim , чтобы включить курсор для столбца — визуальное выделение столбца, идеально подходящее для yaml, json и т. д.#tips
👍7
• Кнопки, ссылки, картинки
• Файлы JavaScript
• Bruteforcing
• Google Dorking
• Internet-архив
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔7
🥷 В следующий раз, когда будете тестировать фичу оформления заказа, проверьте, уязвима ли она для инъекции формулы и позволяет ли она заказывать продукт по сниженной или даже отрицательной цене! 🤑
#tips #bugbounty
#tips #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
🥰9👍4
1. XSS (Cross-Site Scripting)
2. CSP (Content Security Policy)
3. Sanitization
4. HTML injection
5. CSS injection
6. DOM clobbering
7. Prototype pollution
8. CSRF (Cross-site request forgery)
9. CORS (Cross-origin resource sharing)
10. Cookie tossing
11. Cookie bomb
12. Clickjacking
13. MIME sniffing
14. XSLeaks (Cross-site leaks)
15. CSTI (Client-side template injection)
16. Subdomain takeover
17. Dangling markup injection
18. Supply chain attack
#bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
👍10
This media is not supported in your browser
VIEW IN TELEGRAM
Потерялись в скобках? #vim может выделить другую сторону вашей текущей скобки с помощью
#tips
:set showmatch.#tips
❤3🤩2🥱2
{ "op": "replace", "path": "/role", "value": "admin" },
👉 Подробнее
#bugbounty #tips
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4