👨💻 Погружение в коды состояния HTTP-ответов: пятиминутный гайд для новичков
Если вы проводили сетевое сканирование или тестирование приложений, вы сталкивались с изрядной долей кодов HTTP-ответов.
Если нет, они встречаются везде: от curl, Shodan или Nessus до Burp Suite и ZAP. Хоть это и простая тема, важно понимать различия👇
🔗 Читать гайд
#guide
Если вы проводили сетевое сканирование или тестирование приложений, вы сталкивались с изрядной долей кодов HTTP-ответов.
Если нет, они встречаются везде: от curl, Shodan или Nessus до Burp Suite и ZAP. Хоть это и простая тема, важно понимать различия👇
#guide
Please open Telegram to view this post
VIEW IN TELEGRAM
❗Вакансии «Библиотеки программиста» — ждем вас в команде!
Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉контент-менеджеров для ведения телеграм-каналов
Подробности тут
Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴
Ждем ваших откликов 👾
Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉контент-менеджеров для ведения телеграм-каналов
Подробности тут
Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴
Ждем ваших откликов 👾
job.proglib.io
Вакансии в медиа «Библиотека программиста»
Количество проектов в редакции постоянно растет, так что нам всегда нужны специалисты
👍3
👀 Открытая редакция: ищем авторов для рубрики DevLife
Друзья, нас часто спрашивают про публикацию материалов о личном опыте и знаниях в IT. Пора это систематизировать!
Если у вас есть история о том, как вы:
• выросли в профессии,
• освоили новые технологии,
• сделали крутой карьерный скачок,
• эпично лажанулись,
• создали интересные проекты,
— присылайте свои статьи на почту hello@proglib.io с темой DevLife.
Требования простые:
• реальный опыт,
• конкретные шаги,
• от 5000 знаков,
• ссылка на Google Docs.
Лучшие истории опубликуем на сайте и в наших соцсетях с общим охватом 1 млн + человек.
Друзья, нас часто спрашивают про публикацию материалов о личном опыте и знаниях в IT. Пора это систематизировать!
Если у вас есть история о том, как вы:
• выросли в профессии,
• освоили новые технологии,
• сделали крутой карьерный скачок,
• эпично лажанулись,
• создали интересные проекты,
— присылайте свои статьи на почту hello@proglib.io с темой DevLife.
Требования простые:
• реальный опыт,
• конкретные шаги,
• от 5000 знаков,
• ссылка на Google Docs.
Лучшие истории опубликуем на сайте и в наших соцсетях с общим охватом 1 млн + человек.
1❤1
На данный момент не существует единого ресурса, который бы подробно освещал эту важную тему, несмотря на широкое распространение расширений, взаимодействующих с конфиденциальными данными и операциями.
В частности, расширения для криптовалютных кошельков и менеджеров паролей демонстрируют необходимость в повышении осведомлённости о безопасности.
#tutorial #pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
1
Forwarded from Библиотека программиста | программирование, кодинг, разработка
🤔 Преимущества использования PASETO (Platform-Agnostic Security Token) вместо JWT (JSON Web Token) для аутентификации в веб-разработке
Что такое PASETO?
• Это токен, разработанный как более безопасная и простая альтернатива JWT.
• Основное внимание уделяется шифрованию и цифровым подписям для обеспечения безопасности.
• В отличие от JWT, PASETO изначально безопасен и защищен от большинства уязвимостей.
👉 Преимущества перед JWT
1. Безопасность по умолчанию:
• PASETO использует только современные и стойкие алгоритмы шифрования.
• Исключает распространённые проблемы JWT.
2. Простота использования:
• В PASETO легко определить его назначение (local или public) по структуре токена.
• Меньше шансов допустить ошибки при настройке, чем с JWT.
3. Производительность: PASETO быстрее шифруется и расшифровывается, что снижает нагрузку на сервер.
👉 Недостатки
• Отсутствие RFC: на данный момент доступен только черновик спецификации.
• Реализации PASETO есть не для всех языков программирования.
👉 Когда использовать PASETO?
• Локальные токены: для защиты данных в cookies или параметрах HTTP-запросов.
• Публичные токены: для одноразовой аутентификации, например, в OpenID.
🔗 Источник иллюстрации
Что такое PASETO?
• Это токен, разработанный как более безопасная и простая альтернатива JWT.
• Основное внимание уделяется шифрованию и цифровым подписям для обеспечения безопасности.
• В отличие от JWT, PASETO изначально безопасен и защищен от большинства уязвимостей.
👉 Преимущества перед JWT
1. Безопасность по умолчанию:
• PASETO использует только современные и стойкие алгоритмы шифрования.
• Исключает распространённые проблемы JWT.
2. Простота использования:
• В PASETO легко определить его назначение (local или public) по структуре токена.
• Меньше шансов допустить ошибки при настройке, чем с JWT.
3. Производительность: PASETO быстрее шифруется и расшифровывается, что снижает нагрузку на сервер.
👉 Недостатки
• Отсутствие RFC: на данный момент доступен только черновик спецификации.
• Реализации PASETO есть не для всех языков программирования.
👉 Когда использовать PASETO?
• Локальные токены: для защиты данных в cookies или параметрах HTTP-запросов.
• Публичные токены: для одноразовой аутентификации, например, в OpenID.
🔗 Источник иллюстрации
🤑 7 неочевидных методов разведки для поиска новых уязвимостей
Гайд от Intigriti, из которого вы узнаете про:
— целевые словари;
— перебор виртуальных хостов (VHost);
— forced browsing с использованием различных HTTP-методов;
— мониторинг JavaScript-файлов;
— обход с разными заголовками user-agent;
— поиск связанных ресурсов с помощью хэшей иконок;
— поиск устаревших версий JavaScript-файлов.
#bugbounty #recon
Гайд от Intigriti, из которого вы узнаете про:
— целевые словари;
— перебор виртуальных хостов (VHost);
— forced browsing с использованием различных HTTP-методов;
— мониторинг JavaScript-файлов;
— обход с разными заголовками user-agent;
— поиск связанных ресурсов с помощью хэшей иконок;
— поиск устаревших версий JavaScript-файлов.
#bugbounty #recon
😁4👍2❤1
AI-Goat воспроизводит реальные окружения ИИ в облаке, но намеренно имеет баги для обеспечения реалистичной обучающей платформы. Внутри вас ждет несколько векторов атак, ориентированных на подход к тестированию методом чёрного ящика.
#pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
11👍5
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
🌵🕵️♂️ Git-квест: 10 испытаний для повелителя репозиториев
От простого push до таинственного cherry-pick – пройдите все уровни нашего Git-квеста и докажите, что достойны звания Git-мастера.
🔗 Пройти тест
От простого push до таинственного cherry-pick – пройдите все уровни нашего Git-квеста и докажите, что достойны звания Git-мастера.
Please open Telegram to view this post
VIEW IN TELEGRAM
😁7👍1
⤵️ Open URL redirect: полное руководство по эксплуатации
Этот тип багов часто относится к «низко висящим фруктам». Однако по мере усложнения современных приложений усложняются и баги.
Это также позволяет превратить «низко висящие фрукты» в более серьёзные проблемы с безопасностью, например, в полный захват учётной записи.
Гайд от Intigriti погружается в тему и разбирает: что это за уязвимость, как ее найти, проэксплуатировать и повысить импакт.
👉 Читать гайд
#guide #bugbounty #pentest
Этот тип багов часто относится к «низко висящим фруктам». Однако по мере усложнения современных приложений усложняются и баги.
Это также позволяет превратить «низко висящие фрукты» в более серьёзные проблемы с безопасностью, например, в полный захват учётной записи.
Гайд от Intigriti погружается в тему и разбирает: что это за уязвимость, как ее найти, проэксплуатировать и повысить импакт.
#guide #bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
Forwarded from Библиотека программиста | программирование, кодинг, разработка
Исследователи нашли уязвимость в системе Subaru STARLINK, которая дала полный доступ к автомобилям через admin-панель.
Через уязвимость можно было удалённо запускать и останавливать двигатель автомобиля, блокировать или разблокировать двери. Хакеры также могли получить историю местоположений за год с точностью до 5 метров и извлечь данные владельцев, включая адреса, телефоны, e-mail, данные карт и PIN-коды.
▪️ Использовали Burp Suite для анализа запросов в мобильном приложении Subaru.
▪️ Переключились на админ-панель STARLINK, проанализировали JS-код и нашли дырявый эндпоинт для сброса пароля.
▪️ Через brute-force подобрали учётные данные сотрудников, получили доступ и обошли 2FA, просто удалив client-side проверку.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9😁7
2024 год был бурным в кибербезопасности с многочисленными крупными утечками данных, которые поставили под угрозу конфиденциальную информацию и затронули миллионы людей по всему миру. Хотя они нанесли значительный вред, они также дают возможность изучить и укрепить защитные меры.
Под катом — 10 крупнейших утечек данных прошлого года с подробным описанием их причин, последствий и мер реагирования со стороны вовлеченных организаций.
👉 Читать
#security
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚1
Казалось бы, где Python, а где Windows, но пока одни offensive команды придумывают новые методы, другие пользуются проверенными старыми.
Об одном из таких и пойдет речь под катом. Учитывая легкую доступность Python для Windows, а также некоторый существующий опыт работы с Python, автор считает, что есть основания для создания небольшой, но значимой ниши offensive Python в сфере разработки малвари.
👉 Читать
#redteam #tools #malware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4
🔓 Пользователь Reddit случайно раскрыл секреты КНДР
Интернет-инфраструктура Северной Кореи всегда была загадкой. Но недавно пользователь Reddit случайно приоткрыл завесу тайны, задав вопрос: «Как получить домен .kp?»
При обсуждении выяснилось, что для доступа к одному из северокорейских доменов (hani.star-co.net.kp) требуется VPN. Это вызвало волну интереса к тому, как КНДР контролирует интернет и какие инструменты использует для удалённого доступа.
❓ Что раскрыло расследование
➡️ NetKey и Hangro — специальные программы, с помощью которых КНДР контролирует доступ в интернет.
➡️ Hangro — загадочный инструмент: программа связана с четырьмя IP-адресами (два в КНДР, два в России) и доменом hangro.net.kp. Программа, возможно, предоставляет доступ к национальному интранету на территории КНДР.
➡️ Другие зацепки — данные whois указывают на Чо Мён Чхоля (перебежчика из КНДР) и компанию Silibank, которая, возможно, управляет интернет-ресурсами страны.
📎 Почитать подробности
#новость
Интернет-инфраструктура Северной Кореи всегда была загадкой. Но недавно пользователь Reddit случайно приоткрыл завесу тайны, задав вопрос: «Как получить домен .kp?»
При обсуждении выяснилось, что для доступа к одному из северокорейских доменов (hani.star-co.net.kp) требуется VPN. Это вызвало волну интереса к тому, как КНДР контролирует интернет и какие инструменты использует для удалённого доступа.
❓ Что раскрыло расследование
#новость
Please open Telegram to view this post
VIEW IN TELEGRAM
🎉5👍3🤔1🥱1
Forwarded from Библиотека девопса | DevOps, SRE, Sysadmin
В четвертом квартале 2024 года Cloudflare зафиксировала и предотвратила рекордную DDoS-атаку с пиковым трафиком в 5,6 Тбит/с, что стало крупнейшей зарегистрированной атакой за 2024 год. За этот период компания смягчила 6,9 миллиона DDoS-атак, что на 16% больше по сравнению с предыдущим кварталом и на 83% больше по сравнению с аналогичным периодом прошлого года.
Тенденции DDoS-атак в 2024 году:
Анализ типов атак:
• HTTP DDoS-атаки: Составили 51% атак в четвертом квартале. Из них 73% инициированы известными ботнетами, 11% маскировались под легитимные браузеры, а 10% содержали подозрительные или необычные HTTP-атрибуты.
• Сетевые атаки: Составили 49% атак. Самые распространённые методы: SYN-флуд (38%), DNS-флуд (16%) и UDP-флуд (14%).
📎 Полный отчёт и дополнительная информация в блоге компании
Please open Telegram to view this post
VIEW IN TELEGRAM
👾1
🧂 Как «посолить» письмо
Злоумышленники продолжают совершенствовать свои методы обхода защиты, и одной из самых простых, но эффективных техник является hidden text salting.
💡 Что это такое?
Hidden text salting — это метод "отравления" HTML-кода, который позволяет скрывать текст и внедрять невидимые символы. При этом текст остаётся незаметным для пользователя, но доступным для спам-фильтров и парсеров.
В 2024 году эксперты Cisco Talos заметили резкий рост использования этой техники в фишинговых письмах.
Hidden text salting позволяет злоумышленникам:
• Обходить системы обнаружения, основанные на ключевых словах.
• Скрывать настоящие бренды за фальшивыми имитациями.
• Запутывать фильтры, изменяя язык письма или структуру его кода.
• Использовать метод HTML smuggling для скрытого внедрения вредоносного ПО.
🔒 Советы по защите:
➖ Используйте расширенные системы фильтрации, которые анализируют HTML и CSS на подозрительные конструкции, например, visibility: hidden или display: none.
➖ Опирайтесь на визуальные признаки писем, а не только на текстовые.
➖ Внедряйте AI-решения, которые анализируют сложные угрозы с использованием Natural Language Processing
📎 Подробнее в блоге Cisco Talos
Злоумышленники продолжают совершенствовать свои методы обхода защиты, и одной из самых простых, но эффективных техник является hidden text salting.
💡 Что это такое?
Hidden text salting — это метод "отравления" HTML-кода, который позволяет скрывать текст и внедрять невидимые символы. При этом текст остаётся незаметным для пользователя, но доступным для спам-фильтров и парсеров.
В 2024 году эксперты Cisco Talos заметили резкий рост использования этой техники в фишинговых письмах.
Hidden text salting позволяет злоумышленникам:
• Обходить системы обнаружения, основанные на ключевых словах.
• Скрывать настоящие бренды за фальшивыми имитациями.
• Запутывать фильтры, изменяя язык письма или структуру его кода.
• Использовать метод HTML smuggling для скрытого внедрения вредоносного ПО.
🔒 Советы по защите:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3