🪳 Методология баг-баунти: гайд для охотников за ошибками
Вы — начинающий этичный хакер или уже нашли несколько багов, но хотите сделать свой подход к багбаунти более последовательным и систематичным? Тогда эта методология для вас. Вы узнаете про несколько важных компонентов:
• Инструменты: чем пользуется хакер, чтобы атаковать цель?
• Образ мышления: насколько настойчив хакер? Как хакер преодолевает ментальные барьеры?
• Подход к работе. Некоторые хакеры используют чек-листы, другие руководствуются собственной интуицией. Как хакеры применяют свои знания на практике?
• Опыт. Конкретный порядок реализации методологии зависит от предыдущего опыта хакера. Опытные хакеры обычно очень в этом эффективны. Эффективность — это результат накопленного опыта.
#bestpractices #bugbounty
Вы — начинающий этичный хакер или уже нашли несколько багов, но хотите сделать свой подход к багбаунти более последовательным и систематичным? Тогда эта методология для вас. Вы узнаете про несколько важных компонентов:
• Инструменты: чем пользуется хакер, чтобы атаковать цель?
• Образ мышления: насколько настойчив хакер? Как хакер преодолевает ментальные барьеры?
• Подход к работе. Некоторые хакеры используют чек-листы, другие руководствуются собственной интуицией. Как хакеры применяют свои знания на практике?
• Опыт. Конкретный порядок реализации методологии зависит от предыдущего опыта хакера. Опытные хакеры обычно очень в этом эффективны. Эффективность — это результат накопленного опыта.
#bestpractices #bugbounty
🔥4
🤯 Что вам помогает работать, когда устаете? Когда в отпуск ну вообще никак, а сил уже нет.
💬 Может быть, чтение отвлеченной литературы, спорт, дневной сон, прогулки, встречи с друзьями, что-то ещё?
#интерактив
💬 Может быть, чтение отвлеченной литературы, спорт, дневной сон, прогулки, встречи с друзьями, что-то ещё?
#интерактив
🎉4
Самые полезные каналы для программистов в одной подборке!
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
Азбука айтишника — здесь мы познаем азы из мира программирования
🤖Про нейросети
Библиотека робототехники и беспилотников | Роботы, ИИ, интернет вещей
Библиотека нейрозвука | Транскрибация, синтез речи, ИИ-музыка
Библиотека нейротекста | ChatGPT, Gemini, Bing
Библиотека нейровидео | Sora AI, Runway ML, дипфейки
Библиотека нейрокартинок | Midjourney, DALL-E, Stable Diffusion
#️⃣C#
Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Книги для джавистов | Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
Библиотека разработчика игр | Gamedev, Unity, Unreal Engine
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
Азбука айтишника — здесь мы познаем азы из мира программирования
🤖Про нейросети
Библиотека робототехники и беспилотников | Роботы, ИИ, интернет вещей
Библиотека нейрозвука | Транскрибация, синтез речи, ИИ-музыка
Библиотека нейротекста | ChatGPT, Gemini, Bing
Библиотека нейровидео | Sora AI, Runway ML, дипфейки
Библиотека нейрокартинок | Midjourney, DALL-E, Stable Diffusion
#️⃣C#
Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Книги для джавистов | Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
Библиотека разработчика игр | Gamedev, Unity, Unreal Engine
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
❤2👍2
🤯 1 уязвимость, более 50 тысяч долларов в качестве вознаграждения: как Zendesk оставил бэкдор в сотнях компаний из списка Fortune 500
15-летний разработчик и иногда багхантер провел блестящее исследование, за которое команда Zendesk отказалась платить вознаграждение. Упомянутые выше выплаты — от других компаний, использующих Zendesk. Вот такая странная история с интересными техническими подробностями👇
👉 Читать
#pentest #bugbounty
15-летний разработчик и иногда багхантер провел блестящее исследование, за которое команда Zendesk отказалась платить вознаграждение. Упомянутые выше выплаты — от других компаний, использующих Zendesk. Вот такая странная история с интересными техническими подробностями👇
👉 Читать
#pentest #bugbounty
👍4👏2
🔥 Red, blue и purple AI
Jason Haddix показал сокращенный формат своего ИИ-тренинга на OWASP AppSec San Francisco. Речь пойдет не о будущем ИИ и машинного обучения, а о конкретных стратегиях и методах, которые можно применить для усиления работы вашей команды по безопасности.
👉 Смотреть
#ai #redteam #blueteam
Jason Haddix показал сокращенный формат своего ИИ-тренинга на OWASP AppSec San Francisco. Речь пойдет не о будущем ИИ и машинного обучения, а о конкретных стратегиях и методах, которые можно применить для усиления работы вашей команды по безопасности.
👉 Смотреть
#ai #redteam #blueteam
🌚3👍2
🥷 Ruby-SAML / GitLab Authentication Bypass (CVE-2024-45409)
Зачем изучать различные CVE? Хотя бы за тем, чтобы расширить кругозор в нашем сложном ремесле и понимать предпосылки возникновения багов. Сегодня для вас очередная критическая уязвимость в GitLab, позволяющая обойти механизмы аутентификации SAML и получить несанкционированный доступ, используя недостаток в обработке ответов SAML.
👉 Читать
#CVE #writeup
Зачем изучать различные CVE? Хотя бы за тем, чтобы расширить кругозор в нашем сложном ремесле и понимать предпосылки возникновения багов. Сегодня для вас очередная критическая уязвимость в GitLab, позволяющая обойти механизмы аутентификации SAML и получить несанкционированный доступ, используя недостаток в обработке ответов SAML.
👉 Читать
#CVE #writeup
🔥4👍1
🤔 Загрузить веб-шелл с помощью функционала загрузки картинки? Не бред, а реальность. Не так часто встретишь в реальных веб-приложениях, но технику знать обязательно надо!
#bugbounty #tips
#bugbounty #tips
❤5🤔5
🤯 Ситуация:
Вам поступает задача, вы на глаз оцениваете ее в две недели и получаете одобрение по срокам. Сначала все идет хорошо, пилите проект и ничто не предвещает беды.
Со временем задача усложняется, потому что данные приходят с задержками и вразнобой. Вы не делитесь с руководителем своими трудностями, потому что тогда это можно посчитать за некомпетентность.
А когда приходит время сдачи работы, выясняется, что большинство работы сделано неправильно.
💬 Как думаете, как стоило поступить исполнителю?
Вам поступает задача, вы на глаз оцениваете ее в две недели и получаете одобрение по срокам. Сначала все идет хорошо, пилите проект и ничто не предвещает беды.
Со временем задача усложняется, потому что данные приходят с задержками и вразнобой. Вы не делитесь с руководителем своими трудностями, потому что тогда это можно посчитать за некомпетентность.
А когда приходит время сдачи работы, выясняется, что большинство работы сделано неправильно.
💬 Как думаете, как стоило поступить исполнителю?
👏5👍1
🥷☁️ RCE в Managed ClickHouse глазами специалиста SOC в Yandex Cloud
Вадим Осипов (security‑инженер в команде Yandex Cloud) и Дмитрий Руссак (тимлид команды SOC‑инжиниринга) рассказывают про безопасность managed-сервисов и RCE в Managed ClickHouse в Yandex Cloud.
Здесь интересны не только поиск и эксплуатация уязвимости, но и принцип построения облаков👇
🔗 Читать
#cloud #pentest
Вадим Осипов (security‑инженер в команде Yandex Cloud) и Дмитрий Руссак (тимлид команды SOC‑инжиниринга) рассказывают про безопасность managed-сервисов и RCE в Managed ClickHouse в Yandex Cloud.
Здесь интересны не только поиск и эксплуатация уязвимости, но и принцип построения облаков👇
🔗 Читать
#cloud #pentest
👍2
Forwarded from Библиотека программиста | программирование, кодинг, разработка
📨 Как работают очереди и брокеры сообщений
Очередь сообщений — структура данных, которая хранит сообщения в порядке FIFO. Представьте, что вашему приложению нужно обрабатывать файлы, которые загружают пользователи. Очередь сообщений в этом случае может выступать как очередь задач, обрабатывающая задания асинхронно:
1️⃣ Пользователь загружает большой файл для обработки.
2️⃣ Веб-сервер принимает файл и создает задание.
3️⃣ Задание добавляется в очередь задач, а файл загружается в объектное хранилище.
4️⃣ Позже рабочий процесс забирает задания из очереди одно за другим и обрабатывает их, получая файл из хранилища.
Это самый простой пример. Очереди сообщений можно использовать для:
✔️ Планирования и управления фоновыми задачами.
✔️ Распределения задач между несколькими рабочими процессами.
✔️ Управления сервисами подписки и уведомлений.
✔️ Буферизации данных.
✔️ Повторных попыток обработки платежей и многого другого.
Подробнее читайте в нашем гайде 👇
🔗 Читать статью
🔗 Зеркало
Очередь сообщений — структура данных, которая хранит сообщения в порядке FIFO. Представьте, что вашему приложению нужно обрабатывать файлы, которые загружают пользователи. Очередь сообщений в этом случае может выступать как очередь задач, обрабатывающая задания асинхронно:
1️⃣ Пользователь загружает большой файл для обработки.
2️⃣ Веб-сервер принимает файл и создает задание.
3️⃣ Задание добавляется в очередь задач, а файл загружается в объектное хранилище.
4️⃣ Позже рабочий процесс забирает задания из очереди одно за другим и обрабатывает их, получая файл из хранилища.
Это самый простой пример. Очереди сообщений можно использовать для:
✔️ Планирования и управления фоновыми задачами.
✔️ Распределения задач между несколькими рабочими процессами.
✔️ Управления сервисами подписки и уведомлений.
✔️ Буферизации данных.
✔️ Повторных попыток обработки платежей и многого другого.
Подробнее читайте в нашем гайде 👇
🔗 Читать статью
🔗 Зеркало
👍3
❗Вакансии «Библиотеки программиста» — ждем вас в команде!
Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉контент-менеджеров для ведения телеграм-каналов
👉Переводчик и автор оригинальных статей
Подробности тут
Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴
Ждем ваших откликов 👾
Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉контент-менеджеров для ведения телеграм-каналов
👉Переводчик и автор оригинальных статей
Подробности тут
Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴
Ждем ваших откликов 👾
job.proglib.io
Вакансии в медиа «Библиотека программиста»
Количество проектов в редакции постоянно растет, так что нам всегда нужны специалисты
🔥 Fortinet FortiGate CVE-2024-23113: суперсложная уязвимость в суперзащищенном устройстве в 2024 году
Исследователи из лаборатории Watchtowr обнаружили очередную уязвимость в SSL VPN.
👉 Читать райтап
#writeup #CVE
Исследователи из лаборатории Watchtowr обнаружили очередную уязвимость в SSL VPN.
👉 Читать райтап
#writeup #CVE
🥷 DLL Sideloading — метод, позволяющий выполнять кастомный вредоносный код из легитимных (возможно, даже подписанных) бинарных файлов/процессов Windows.
Под катом вас ждет отличное введение в данную тему. Оно обобщает различия между такими понятиями, как hijacking, sideloading, proxying и т. д.
👉 Читать
#redteam #tools #security
Под катом вас ждет отличное введение в данную тему. Оно обобщает различия между такими понятиями, как hijacking, sideloading, proxying и т. д.
👉 Читать
#redteam #tools #security
👍2
🤔 Почему в багбаунти важно быть настойчивым и «вгрызаться» за каждый эндпоинт? Потому что многие используют инструменты автоматизации и не переходят к ручному тестированию, который как раз может привести к цели.
☝️ Багхантер показал пример успешной RCE-уязвимости, выявленной с помощью инструмента и BurpSuite-расширения Param Miner.
👉 Источник
#bugbounty #tips
☝️ Багхантер показал пример успешной RCE-уязвимости, выявленной с помощью инструмента и BurpSuite-расширения Param Miner.
👉 Источник
#bugbounty #tips
👍4
🤠 Просто напоминаем, что у Intigriti есть собственная Hackademy!
Место, где вы на практике можете узнать про XSS, IDOR, SQLi и многом другом! В общем, идеальное руководство для начинающих багхантеров 🤑
👉 Intigriti Hackademy
#bugbounty #learning
Место, где вы на практике можете узнать про XSS, IDOR, SQLi и многом другом! В общем, идеальное руководство для начинающих багхантеров 🤑
👉 Intigriti Hackademy
#bugbounty #learning
👍4