🔥 Упрощение поиска и эксплуатации уязвимостей HTTP desync с помощью TRACE

Исследователь из PortSwigger рассматривает новую технику эксплуатации, которую можно использовать для полной компрометации веб-приложения с помощью TRACE — древнего метода HTTP, который поддерживается более широко, чем вы думаете. 

👉 Читать

#bugbounty #pentest #tools

🤖 Web Apps: APIs’ Nightmare — доклад исследователя и пентестера Paulo Silva, посвященный трансформации веб-приложений. Автор проведет вас по пути от традиционной архитектуры к современным парадигмам.

Вы узнаете, как:

☑️ Традиционные приложения полагались на отдельные файлы, получаемые с помощью HTTP-запросов, в то время как современные объединяют код в пакеты и используют API для создания динамического контента.
☑️ Мобильные приложения, IoT и веб-приложения взаимодействуют через API.

Кроме того, вы получите представление о 10 основных рисках безопасности API OWASP + ценные ресурсы для безопасной разработки API.

📺 Смотреть

#pentest #bugbounty

💵203 000 за 4 уязвимости в боте Azure Health

Обзор двух RCE, path traversal и memory leak от канала Bug Bounty Reports Explained. Кратко, ёмко и по делу👇

👀 Смотреть

#writeup #pentest #bugbounty

🎙 Подкаст Responsible Disclosure Podcast: Антон (Bo0oM) Лопаницын — хакер, предприниматель в сфере ИБ, исследователь, автор блога Кавычка

Из нового выпуска вы узнаете об интересном мире уязвимостей и пути Антона в ИБ-индустрии. Bo0oM — КМС по вольной борьбе с уязвимостями и владелец черного пояса в мастерстве кидания кавычек.

⏱️ Таймкоды:

01:54 Антон или Дима?
04:32 С чего начинался интерес к секьюрити
06:26 Первый взлом на игре resident evil
08:36 Хотел ли стать реверсером или хардварщиком?
10:55 Спуфинг вайфая на секьюрити конференции для исследования
12:56 Как попал в Onsec и знакомство с Иваном
19:05 Откуда шло развитие и мотивация
22:30 Багхантинг и не материальные бенифиты
28:49 Материальные бенифиты и максимальные выплаты на багхантинге
33:35 Обратная сторона исследований и угрозы
35:30 История с МТС и шуточным сообщением на забытом поддомене
40:35 Подход для выбора цели исследования
42:10 Взлом платформы для разблокировки украденных устройств
49:55 Перво место на хакатоне и премия мэра на 1 миллион рублей
1:00:33 «Стартапы» Антона и сложности предпринимательства
1:11:30 Судьба Взрывного блога
1:16:13 Как сохранять мотивацию и интерес к работе за такой большой промежуток времени
1:18:51 Повлияла ли работа на личную жизнь
1:21:08 Влияние AI на индустрию
1:23:58 Способ оставаться в трендах и оставаться в курсе тенденций и угроз индустрии

#podcasts

🤩 Awesome CI/CD Attacks

Практические ресурсы для исследования безопасности CI/CD:

🧠 Техники
🛠️ Инструменты нападения
🗒️ Тематические исследования

👉 GitHub

#tips #pentest #bugbounty

👀Что из этого сгенерировала нейросеть?

Подписывайтесь на наш новый канал про нейросети для создания изображений, там есть:

🌸Новые нейросети и инструменты, например, вот модель генерирует картинки по наброску
🌸Промты для разных задач
🌸Лайфхаки по использованию нейросетей

👉Подписывайтесь!

🧰 Внутренние компоненты EDR для macOS и Linux

EDR на macOS и Linux? Никто не думает об этом в ходе редтима или пентеста. Но данное средство защиты можно встретить не только на Windows.

Приведенный ресёрч рассказывает об обходе EDR в macOS/Linux и освещает возможности/недостатки EDR.

👉 Читать

#pentest #redteam #research

🎮Новый канал по разработке игр

Мы наконец-то запустили канал по разработке игр — теперь все самое важное и полезное из мира геймдева можно узнать в одном месте.

👉Подписаться

Proglib запускает канал Азбука айтишника

Подписывайтесь на наш новый канал про айти для неайтишников — для совсем новичков и тех, кто постоянно взаимодействует с айтишниками.

У нас есть рубрики:
⭐ База — в ней рассказываем про термины из IT простым языком
⭐ Проект — объясняем, из чего состоят айтишные проекты и сколько они могут стоить
⭐ Психология айтишника — тут говорим про софт-скиллы, особенности работы и взаимодействия

👉Подписывайтесь!