В ходе расследования одного из инцидентов команда PT Expert Security Center нашла следы новой версии Go-инструмента, который встречался ранее в ряде российских компаний.
О главных особенностях хакерского инструмента и том, как его удалось найти и привязать к ExCobalt, читайте в статье или отчете👇
📑 Читать полный отчет
⛓️💥 Читать основные выжимки
#hacking #blueteam
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
🔓 Access tokens в Windows: объяснение принципа работы для этичного хакера от ACE Responder
#cheatsheet #pentest #redteam
#cheatsheet #pentest #redteam
👍3🔥2🤩1
Undefined behavior — боль, знакомая каждому разработчику со стажем; эдакий «код Шредингера», когда не знаешь, правильно тот работает или нет. К счастью, стандарты языка С++20/23/26 привнесли относительно неопределенного поведения кое-что новое. И довольно важное, если вы — архитектор ПО, а «плюсы» — ключевой стек вашей компании.
В этой статье Сергей Талантов со своих позиций Senior Software Architect и Security Champion в микроядерной операционной системе KasperskyOS рассматривает кейсы-ловушки, в которые можно попасть практически в любом из стандартов, и показывает, что меняется в С++20/23/26, — уменьшается ли количество кейсов с неопределенным поведением, и становится ли С++ безопаснее.
👉 Читать
#security
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1
Мы пишем статью о способах измерения личностного роста программистов и нам нужна ваша помощь! 🚀
📊 Какие метрики вы используете для оценки своего прогресса?
🤔 Как вы понимаете, что выросли профессионально?
💡 Есть ли у вас свои уникальные способы отслеживания развития?
💬 Поделитесь вашим опытом в комментариях! Лучшие идеи попадут в нашу статью!
#интерактив
📊 Какие метрики вы используете для оценки своего прогресса?
🤔 Как вы понимаете, что выросли профессионально?
💡 Есть ли у вас свои уникальные способы отслеживания развития?
💬 Поделитесь вашим опытом в комментариях! Лучшие идеи попадут в нашу статью!
#интерактив
This media is not supported in your browser
VIEW IN TELEGRAM
#windows #cheatsheet
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
💰 Magento XXE в деталях (CVE-2024-34102)
Команда Assetnode провела очередную блестящую работу, воспроизведя недавнюю pre-authentication XML entity injection в Magento. Автор уязвимости — Сергей Темников. Его исследование можно прочитать здесь, но оно не содержит пруфов.
👉 Читать
#writeup #CVE
Команда Assetnode провела очередную блестящую работу, воспроизведя недавнюю pre-authentication XML entity injection в Magento. Автор уязвимости — Сергей Темников. Его исследование можно прочитать здесь, но оно не содержит пруфов.
👉 Читать
#writeup #CVE
👍2
🔐 Https, SSL Handshake и шифрование данных
Иллюстрация, с помощью которой можно объяснить принципы работы безопасного протокола передачи данных даже ребёнку.
👉 Источник
#security #cheatsheet
Иллюстрация, с помощью которой можно объяснить принципы работы безопасного протокола передачи данных даже ребёнку.
👉 Источник
#security #cheatsheet
🤔3
В сети появился архив RockYou2024, который весит 45 Гб в архивированном виде (распакованный весит 156 Гб)
📦 Скачивайте, пользуйтесь: S3 timeweb & Яндекс диск
#leak #security
📦 Скачивайте, пользуйтесь: S3 timeweb & Яндекс диск
#leak #security
👍6❤3
🧰 Создание среды Emux с помощью Ludus: отличное пошаговое руководство для тех, кто хочет начать заниматься взломом embedded систем
Ludus быстро оказался в центре внимания как простой инструмент для быстрого создания, удаления и перестроения виртуализированных лабораторных окружений (с общим фокусом на offensive и defensive безопасности) для всего, от ADCS до GOAD, Elastic Security Lab и многого другого.
Под катом — обзор нового дополнения EMUX Environment. Вы узнаете, как установить EMUX и запустить одно или несколько эмулированных устройств на хостах на базе Debian.
👉 Читать гайд
#redteam #guide
Ludus быстро оказался в центре внимания как простой инструмент для быстрого создания, удаления и перестроения виртуализированных лабораторных окружений (с общим фокусом на offensive и defensive безопасности) для всего, от ADCS до GOAD, Elastic Security Lab и многого другого.
Под катом — обзор нового дополнения EMUX Environment. Вы узнаете, как установить EMUX и запустить одно или несколько эмулированных устройств на хостах на базе Debian.
👉 Читать гайд
#redteam #guide
👍4
🔥 Изучение сторонних сервисов для открытой регистраций: риски безопасности и передовой опыт
Многие компании, которые мы исследуем в ходе багбаунти, прибегают к использованию сторонних решений для выполнения определенных задач.
Типичным примером являются Atlassian Jira, Jenkins, Freshworks Freshservice и другие. Но, будучи неаутентифицированным пользователем, вы часто мало что можете сделать.
Но что, если бы существовал способ воспользоваться неправильно настроенным параметром для повышения своих привилегий? 😏
👉 Читать
#bugbounty #pentest #guide
Многие компании, которые мы исследуем в ходе багбаунти, прибегают к использованию сторонних решений для выполнения определенных задач.
Типичным примером являются Atlassian Jira, Jenkins, Freshworks Freshservice и другие. Но, будучи неаутентифицированным пользователем, вы часто мало что можете сделать.
Но что, если бы существовал способ воспользоваться неправильно настроенным параметром для повышения своих привилегий? 😏
👉 Читать
#bugbounty #pentest #guide
🤠 Список наиболее распространенных файлов конфигурации, которые следует всегда проверять!
🤔 Что еще вы можете добавить? За исключением забытых конфигов вроде
🤔 Что еще вы можете добавить? За исключением забытых конфигов вроде
/wp-config.php.old и /swagger.
👍7❤1🔥1