Как многие помнят, я разыгрывал проходки на OFFZONE и свой мерч + мерч OFFZONE 2023. И главным условием получения мерча было участие в мероприятии, чтобы я мог лично отдать мерч.
1. Это была фатальная ошибка тащить весь этот тяжеленный мерч с собой. Просто худшее решение за все эти два дня. В первый день я притащил с собой 2 доверху набитых рюкзака мерчом. И очень, очень, очень долго раздавал его победителям. Потому что каждый хотел на один доклад, другое на стендах. В телефонах не все сидят в моментах, а мне вас искать как бы не в западло, но и сфигали я должен за вами бегать?) Короче вышло хреново, потому что меня ещё OFFZONE задарил подарками, за что им спасибо. В итоге я ходил с тяжёлыми рюкзаками и ещё двумя шопперами (как СМИ, как спикер получал). В итоге к ночи рук я уже своих не чувствовал, как и ног.
Вывод: только доставка мерча до мероприятия
2. Я собрал ничтожно мало мерча. Почему? Потому что я все два дня ходил и раздавал свой мерч и новый мерч мне банально некуда было складывать до вечера второго дня. Итого у меня 100⚪️ за все два дня, которые я так и не смог потратить.
3. Третий пункт плавно вытекает из второго. Не смог или не успел потратить коины. Почему? Потому что в первый день все участники мероприятия их набирали, а во-второы день очередь с утра и до момента, когда закончился мерч, не заканчивалась. Это биг проблем, потому что тупо стоять 1,5 часа, ради того, чтобы тебе сказали, что то что ты хотел уже закончилось. Это беда, она есть из года в год. Самым логичным решением, это нанять ещё "продавцов" в мерч шоп. Иначе это проблема по мере увеличения масштаба мероприятия будет только усугубляться. Мне было не так обидно, т.к. у меня особо коинов не было, чтобы прям закупаться, но вот лучший друг фармил их два дня, в итоге потратил на какую-то фигню на стендах партнёров, а не на то что хотел. Это грустно(
4. Я не сходил ни на один доклад полноценно, я не сделал ни одной активности, кроме CUB_3 в самом начале. Где был жирный абуз таска. Я даже сам не понял, как я так ничего не прошел, и ничего себе не купил.
5. Заключающий пункт, он скорее как вывод. Мне мой опыт на этом OFFZONE, резко не понравился и даже особо ничем не запомнился.
Вывод: следующий год, я буду чисто как участник СМИ/спикер, но как ходячий стенд.
6. Не могу не отметить положительные моменты, что много встретил знакомых из интернета, которые наконец развиртуализировались. Это круто. Много (на удивление) подходили и фоткались. Это круто)
Как попросил меня один подписчик: не пренебрегай смолтолком если увидишь кого-то в мерче Похек. Так и случилось)
Было безгранично много общения!)
7. OFFZONE всегда была прекрасен своим сообществом, которое он собирает на площадке мероприятие. И самое главное, что за годы существования ивента они не растеряли свою суть. Это кайф💕
1. Это была фатальная ошибка тащить весь этот тяжеленный мерч с собой. Просто худшее решение за все эти два дня. В первый день я притащил с собой 2 доверху набитых рюкзака мерчом. И очень, очень, очень долго раздавал его победителям. Потому что каждый хотел на один доклад, другое на стендах. В телефонах не все сидят в моментах, а мне вас искать как бы не в западло, но и сфигали я должен за вами бегать?) Короче вышло хреново, потому что меня ещё OFFZONE задарил подарками, за что им спасибо. В итоге я ходил с тяжёлыми рюкзаками и ещё двумя шопперами (как СМИ, как спикер получал). В итоге к ночи рук я уже своих не чувствовал, как и ног.
Вывод: только доставка мерча до мероприятия
2. Я собрал ничтожно мало мерча. Почему? Потому что я все два дня ходил и раздавал свой мерч и новый мерч мне банально некуда было складывать до вечера второго дня. Итого у меня 100
3. Третий пункт плавно вытекает из второго. Не смог или не успел потратить коины. Почему? Потому что в первый день все участники мероприятия их набирали, а во-второы день очередь с утра и до момента, когда закончился мерч, не заканчивалась. Это биг проблем, потому что тупо стоять 1,5 часа, ради того, чтобы тебе сказали, что то что ты хотел уже закончилось. Это беда, она есть из года в год. Самым логичным решением, это нанять ещё "продавцов" в мерч шоп. Иначе это проблема по мере увеличения масштаба мероприятия будет только усугубляться. Мне было не так обидно, т.к. у меня особо коинов не было, чтобы прям закупаться, но вот лучший друг фармил их два дня, в итоге потратил на какую-то фигню на стендах партнёров, а не на то что хотел. Это грустно(
4. Я не сходил ни на один доклад полноценно, я не сделал ни одной активности, кроме CUB_3 в самом начале. Где был жирный абуз таска. Я даже сам не понял, как я так ничего не прошел, и ничего себе не купил.
5. Заключающий пункт, он скорее как вывод. Мне мой опыт на этом OFFZONE, резко не понравился и даже особо ничем не запомнился.
Вывод: следующий год, я буду чисто как участник СМИ/спикер, но как ходячий стенд.
6. Не могу не отметить положительные моменты, что много встретил знакомых из интернета, которые наконец развиртуализировались. Это круто. Много (на удивление) подходили и фоткались. Это круто)
Как попросил меня один подписчик: не пренебрегай смолтолком если увидишь кого-то в мерче Похек. Так и случилось)
Было безгранично много общения!)
7. OFFZONE всегда была прекрасен своим сообществом, которое он собирает на площадке мероприятие. И самое главное, что за годы существования ивента они не растеряли свою суть. Это кайф
Please open Telegram to view this post
VIEW IN TELEGRAM
10
А теперь про сам OFFZONE:
Предыстория: моё первое место работы, это и был Культурный Центр ЗИЛ. И по старой памяти были опасения, что может площадка не вывезти всех людей. Но с этим благо проблем не было.
1. Мне как бывшему ЗИЛовцу проблем найти что-то не было, т.к. я буквально был везде, пока работал там. Но вот людям, кто там никогда не был, было тяжело ориентироваться, т.к. по сути здание состоит из 3 частей, левой крыло, центральная часть и правое крыло и 4 этажая помимо этого всего. По поводу навигации у меня есть хорошее предложение для организаторов, которое я напишу им лично.
2. Был страх, что на втором этаже в центральной части будет слишком много вендоров и им уделят по 2 м² и будет тесно и не комфортно. Но я зря переживал, у многих стендом было достаточно места, на том же стенде Jet'ов вообще сидел и кайфовал на пуфиках. + Ребята решили свою прошлогоднюю проблему с клеткой Фарадея и в этом году у них было заметно больше участников CTF. С чем их и поздравляю.
3. В этом году первый раз был представлен Яндекс со своим стендом (если не ошибаюсь). Это было круто. У них были неплохие таски, в их стиле так скажем)) а также притащили своего робота и видел, что многие с радостью фоткались с ним)
4. Площадка вобрала в себя примерно в два раза больше людей, чем в прошлом году. С точки зрения самого комьюнити я не заметил ни одного эксцесса, либо их не было, либо всё быстро урегулировалось. Что кайф
5. Переменчивая погода была не помехой. За время OFFZONE только снег наверное не успел пойти, но мы нам всё равно было кайф. Даже когда все люди во время дождя забежали в здание, не было такого, как к примеру на PHD в Парке Горького, т.е. попа к попе. Все стояли комфортно, а половину пошла проходить таски внутри здания.
6. Speakerparty. Ооо, это был великолепный вечер, на котором я наконец-то смог отдохнуть и сбросить с себя бремя таскать мерч. Как обычно, куча кальянов, много чего выпить было. Еда была вкусная и воки не заканчивались никогда))
Также некоторые ребята для себя открыли бир понг и некоторым на утро было тяжело))
7. Afterparty. Спасибо команде VK и CICADA8, что так душевно организовали всё и для всех. Было круто, еда вообще кайф была, выпивки было ещё больше, чем на спикерпати :)
Интересным моментом было то, что все присутствующие сами разделили логично пространство ивента и каждый выбирал где ему комфортнее находится. Я плавал от зоне, к зоне)
Было круто, жаль рано уехал, т.к. слишком устал.
*. А ещё весёлым моментом было, что меня забрал очень интересный таксист, который рассказал, что у нас по соседству буквально в 100 метрах был... спросите у Пети Уварова, он теперь знает :))
!. Послушал ребят багхантеров, кто участвовал в Bugs ZONE, сказали, что очень вкусно нафармили себе денег, а некоторые и были награждены!
Вывод: OFFZONE топ, в следующем году обязательно приеду, может даже с докладом. Меня и Артема просили сделать вторую часть доклада про выгорание. Может быть и сделаем ¯\_(ツ)_/¯.
Всем рекомендую посетить данный ивент, точно не пожалеете потраченных денег и времени❤️
Предыстория: моё первое место работы, это и был Культурный Центр ЗИЛ. И по старой памяти были опасения, что может площадка не вывезти всех людей. Но с этим благо проблем не было.
1. Мне как бывшему ЗИЛовцу проблем найти что-то не было, т.к. я буквально был везде, пока работал там. Но вот людям, кто там никогда не был, было тяжело ориентироваться, т.к. по сути здание состоит из 3 частей, левой крыло, центральная часть и правое крыло и 4 этажая помимо этого всего. По поводу навигации у меня есть хорошее предложение для организаторов, которое я напишу им лично.
2. Был страх, что на втором этаже в центральной части будет слишком много вендоров и им уделят по 2 м² и будет тесно и не комфортно. Но я зря переживал, у многих стендом было достаточно места, на том же стенде Jet'ов вообще сидел и кайфовал на пуфиках. + Ребята решили свою прошлогоднюю проблему с клеткой Фарадея и в этом году у них было заметно больше участников CTF. С чем их и поздравляю.
3. В этом году первый раз был представлен Яндекс со своим стендом (если не ошибаюсь). Это было круто. У них были неплохие таски, в их стиле так скажем)) а также притащили своего робота и видел, что многие с радостью фоткались с ним)
4. Площадка вобрала в себя примерно в два раза больше людей, чем в прошлом году. С точки зрения самого комьюнити я не заметил ни одного эксцесса, либо их не было, либо всё быстро урегулировалось. Что кайф
5. Переменчивая погода была не помехой. За время OFFZONE только снег наверное не успел пойти, но мы нам всё равно было кайф. Даже когда все люди во время дождя забежали в здание, не было такого, как к примеру на PHD в Парке Горького, т.е. попа к попе. Все стояли комфортно, а половину пошла проходить таски внутри здания.
6. Speakerparty. Ооо, это был великолепный вечер, на котором я наконец-то смог отдохнуть и сбросить с себя бремя таскать мерч. Как обычно, куча кальянов, много чего выпить было. Еда была вкусная и воки не заканчивались никогда))
Также некоторые ребята для себя открыли бир понг и некоторым на утро было тяжело))
7. Afterparty. Спасибо команде VK и CICADA8, что так душевно организовали всё и для всех. Было круто, еда вообще кайф была, выпивки было ещё больше, чем на спикерпати :)
Интересным моментом было то, что все присутствующие сами разделили логично пространство ивента и каждый выбирал где ему комфортнее находится. Я плавал от зоне, к зоне)
Было круто, жаль рано уехал, т.к. слишком устал.
*. А ещё весёлым моментом было, что меня забрал очень интересный таксист, который рассказал, что у нас по соседству буквально в 100 метрах был... спросите у Пети Уварова, он теперь знает :))
!. Послушал ребят багхантеров, кто участвовал в Bugs ZONE, сказали, что очень вкусно нафармили себе денег, а некоторые и были награждены!
Вывод: OFFZONE топ, в следующем году обязательно приеду, может даже с докладом. Меня и Артема просили сделать вторую часть доклада про выгорание. Может быть и сделаем ¯\_(ツ)_/¯.
Всем рекомендую посетить данный ивент, точно не пожалеете потраченных денег и времени
Please open Telegram to view this post
VIEW IN TELEGRAM
10
Forwarded from FEFU Cybersecurity Center
Приготовьтесь к захватывающему 24-часовому киберспортивному вызову! TQL CTF - это новое соревнование, организованное @fefucyber и @fefuctf в сотрудничестве с командами со Standoff365 и Федерацией Спортивного Программирования!
Состязание начнется 3 сентября в 12:00 и продлится до 12:00 4 сентября, у вас будет целый день и ночь, чтобы проверить свои навыки кибербезопасности
TQL CTF проверит ваши способности в различных направлениях: AD/Network, Web, Quest, Cryptography, Reverse, OSINT, Steganography, Misc и Forensics!
Состязание сопровождается солидным призовым фондом:
Независимо от того, являетесь вы опытным или только начинаете свой путь, здесь найдутся задачи для всех, чтобы было возможно учиться, расти и общаться с другими энтузиастами кибербезопасности!
🍋🟩Посетите tqlctf.com, чтобы узнать больше и зарегистрироваться, присоединяйтесь к каналу мероприятия и чату мероприятия, не упустите возможность побороться за славу и выиграть большие призы!
Пришло время проверить свои навыки и оставить свой след в мире кибербезопасности!
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥8
OpenAI для SAST
#openai #sast #appsec
В связи с быстрым ростом числа программных приложений и постоянно растущей изощренностью киберугроз обеспечение безопасности программных систем стало первостепенной задачей для организаций всех отраслей. SAST стало важнейшим подходом к выявлению уязвимостей в ПО на ранних этапах жизненного цикла разработки. Анализируя исходники или бинарники, SAST позволяют обнаружить потенциальные слабые места, такие как небезопасные методы кодирования или известные уязвимости, еще до развертывания приложения.
По мере развития нейросетей в различных областях изучаются новые возможности его применения, и OpenAI с его GPT-4, привлек к себе значительное внимание. Языковые модели OpenAI отлично понимают и генерируют естественный язык, предлагая возможности, которые потенциально могут дополнить и улучшить традиционные методы SAST. Цель данного исследования - изучить пересечение SAST и OpenAI, исследовать потенциальные преимущества, проблемы и возможности, возникающие при их интеграции.
➡️ Читать далее
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
#openai #sast #appsec
В связи с быстрым ростом числа программных приложений и постоянно растущей изощренностью киберугроз обеспечение безопасности программных систем стало первостепенной задачей для организаций всех отраслей. SAST стало важнейшим подходом к выявлению уязвимостей в ПО на ранних этапах жизненного цикла разработки. Анализируя исходники или бинарники, SAST позволяют обнаружить потенциальные слабые места, такие как небезопасные методы кодирования или известные уязвимости, еще до развертывания приложения.
По мере развития нейросетей в различных областях изучаются новые возможности его применения, и OpenAI с его GPT-4, привлек к себе значительное внимание. Языковые модели OpenAI отлично понимают и генерируют естественный язык, предлагая возможности, которые потенциально могут дополнить и улучшить традиционные методы SAST. Цель данного исследования - изучить пересечение SAST и OpenAI, исследовать потенциальные преимущества, проблемы и возможности, возникающие при их интеграции.
Please open Telegram to view this post
VIEW IN TELEGRAM
2👍11🔥5
Что мы знаем о кибератаках? 👽
Существуют ли они на самом деле? Кто-то считает их выдумками для запугивания руководства, и лишь немногие открыто говорят, что сталкивались с ними🛸
А что, если мы скажем вам, что киберугрозы гораздо ближе, чем мы думаем? Они в буквальном смысле среди нас. Каждый человек в компании, сам того не подозревая, может стать проводником хакерской атаки💻
29 августа в 11:00 на бесплатном вебинаре «Люди. Киберугрозы. SOC» спецагенты из МТС RED расскажут:
🔴 как атакуют корпоративных пользователей;
🔴 почему происходят утечки и как защитить компанию от рисков, связанных с человеческим фактором;
🔴 какое будущее ждёт компании в условиях, когда «интернет помнит всё», а создать мошенническую схему с использованием нейросетей может даже не очень опытный злоумышленник.
Вебинар будет полезен, если вы:
💻 директор или руководитель службы ИТ/ИБ;
👨💻 владелец бизнеса, который интересуется кибербезопасностью;
🎩 хотите получить доступ к «секретным материалам».
Регистрируйтесь на вебинар, готовьте вопросы и не доверяйте никому 🤐
Существуют ли они на самом деле? Кто-то считает их выдумками для запугивания руководства, и лишь немногие открыто говорят, что сталкивались с ними
А что, если мы скажем вам, что киберугрозы гораздо ближе, чем мы думаем? Они в буквальном смысле среди нас. Каждый человек в компании, сам того не подозревая, может стать проводником хакерской атаки
29 августа в 11:00 на бесплатном вебинаре «Люди. Киберугрозы. SOC» спецагенты из МТС RED расскажут:
Вебинар будет полезен, если вы:
👨💻 владелец бизнеса, который интересуется кибербезопасностью;
Регистрируйтесь на вебинар, готовьте вопросы и не доверяйте никому 🤐
Please open Telegram to view this post
VIEW IN TELEGRAM
😁8
Forwarded from BI.ZONE Bug Bounty
На пресс-конференции в рамках OFFZONE 2024 поделились итогами работы BI.ZONE Bug Bounty вместе со Сбером, «Группой Астра» и багхантером Артёмом Бельченко.
Из интересного:
Впереди нас ждет еще больше программ, выплат и крутых ивентов для сообщества!
Если еще не багхантите с нами, присоединяйтесь ;)
Please open Telegram to view this post
VIEW IN TELEGRAM
ИИ в тестировании на проникновение: Фаза эксплуатации
#ai #pentest #fuzzing
Мы как-то на подкасте с Артёмом Семёновым обсуждали различные тулзы по типу PentestGPT, которыедумают за вас помогают вам искать баги. Нашёл интересную статью, где упоминается не только PentestGPT, но и ещё одна интересная тулза. Но о какой не скажу, читайте внимательно статью, она интересная :)
➡️ Читать далее
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
#ai #pentest #fuzzing
Мы как-то на подкасте с Артёмом Семёновым обсуждали различные тулзы по типу PentestGPT, которые
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥14⚡1
Forwarded from SecuriXy.kz
Если иногда приходится работать с исходниками приложух и делать анализ SAST и DAST, ниже бесплатные тулины.
SAST - Semgrep + правила: XSS / DOM-based XSS
#Semgrep Installation
Start check
DAST - Untrusted Types / PostMessage tracker
Больше утилит на https://www.clevergod.net/Source-Code-Review-11ba0f27c4bf4e7a949333ee159b8ad3
SAST - Semgrep + правила: XSS / DOM-based XSS
#Semgrep Installation
# macOS
brew install semgrep
# Ubuntu/WSL/Linux/macOS
python3 -m pip install semgrep
# use Docker to try Semgrep without installing the CLI
docker run --rm -v "${PWD}:/src" semgrep/semgrep semgrep
Start check
semgrep scan ./ --config auto
DAST - Untrusted Types / PostMessage tracker
Больше утилит на https://www.clevergod.net/Source-Code-Review-11ba0f27c4bf4e7a949333ee159b8ad3
🔥11😁1
Гори,_гори_ясно,_чтобы_не_погасло_Выгорание_как_тренд_современного.pdf
5.9 MB
Наша с Артемом Бельченко презентация с #OFFZONE2024 про выгорания
🔥25👍4🌚3⚡1
userfuzz
#fuzzing #web #bugbounty #sqli #blindsqli
Недавно один индус выпустил классную тулзу для поиска blind sql injection и вполне успешно теперь получает хаи и криты на h1. Но я нашёл тулзу поинтереснее, с точки зрения фаззинга.
Представляю вашему вниманию тулзу, которая фаззит
Установка:
Использование:
Как-то так. Пользуйтесь)
💻 Github repo
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
#fuzzing #web #bugbounty #sqli #blindsqli
Недавно один индус выпустил классную тулзу для поиска blind sql injection и вполне успешно теперь получает хаи и криты на h1. Но я нашёл тулзу поинтереснее, с точки зрения фаззинга.
Представляю вашему вниманию тулзу, которая фаззит
User-Agent , X-Forwarded-For and Referer на наличие скулей. Вместо тысячи слов, пару строк как установить и использовать:Установка:
sudo pip install userefuzz
Использование:
# Передаём список урлов
userefuzz -l <LIST>
# Передаём 1 урл
userefuzz -u <URL>
# в пайплайне передаём
<STDIN LIST> | userefuzz
# изменяем кол-во потоков
userefuzz <LIST / URL> -w <WORKER COUNT>
# подключаем прокси, к примеру бурпсуютик
userefuzz <LIST/URL> -p <PROXY>
# Можете подсовывать свой пейлоад и свой тайминг для SLEEP()
userefuzz <LIST/URL> -i <CUSTOM SQLI PAYLOAD> -s <SLEEP COUNT IN THE PAYLOAD>
# Внедряем свой кастомный загаловок
userefuzz <LIST/URL> -ch <CUSTOM HEADER NAME>
# Внедряем несколько заголовков
userefuzz <LIST/URL> -ch <CUSTOM HEADER NAME|OTHER HEADERS>
# вывод в markdown формате (красивый и информативный)
userefuzz <LIST/URL> -o <OUTPUT FILE NAME WITHOUT EXT>
# Приятное удобство, что можно подключить уведомления через Telify
userefuzz <LIST / URL> -t
Как-то так. Пользуйтесь)
Please open Telegram to view this post
VIEW IN TELEGRAM
1🔥34👍8⚡1😁1🌚1
Календарь я переверну
И снова первое сентября 😁
Поздравляю всех с первым днём осени, а кого-то и с первым днём учебы)
И снова первое сентября 😁
Поздравляю всех с первым днём осени, а кого-то и с первым днём учебы)
🔥41
Forwarded from #Beacon
Очень классный набор статей от Бастиона❤️
Заявка на handbook для пентестера
1. https://habr.com/ru/companies/bastion/articles/767704/
2. https://habr.com/ru/companies/bastion/articles/799529/
3. https://habr.com/ru/companies/bastion/articles/809655/
Заявка на handbook для пентестера
1. https://habr.com/ru/companies/bastion/articles/767704/
2. https://habr.com/ru/companies/bastion/articles/799529/
3. https://habr.com/ru/companies/bastion/articles/809655/
Хабр
Инфраструктурный пентест по шагам: инструменты, методологии и разведка
В этой статье вас ждет база — те вещи, которые должен знать каждый начинающий пентестер, занимающийся аудитами внутренней инфраструктуры. Начнем с теории — того, по каким схемам действуют хакеры и как...
Forwarded from REDtalk (Alexey)
💥 Привет. Решил я значит перейти с bloodhound на bloodhound-ce, так как первый перестал поддерживаться. Делюсь опытом:
*️⃣ Ставится одной командой запуска контейнеров. Хоть и предыдущий бладхаунд тоже был прост в развертывании, там не было единого docker-compose файла из коробки
*️⃣ Клиентский интерфейс переехал в веб, что является как плюсом (можно развернуть прям на сервере), так и минусом (спад в производительности)
*️⃣ Нет темной темы, значит интерфейс уже устарел
*️⃣ Нету дебаг-режима для запросов к Neo4j. Да, есть отдельное поле, в которое можно писать, но отображает оно не всё
Но самое главное, это пляски с пометкой цели как Owned и High Value. В прошлом бладхаунде это было просто:
Но я удивился, когда обнаружил, что в новой версии свойства owned и highvalue отсутствуют. Ко всему прочему, в дефолтные запросы не завезли манипуляции с этими свойствами. Что делать?
Оказывается, теперь это переехало в свойство system_tags
Да, разрабы зачем-то решили хранить элементы в строке, разделенной пробелами.
Вопрос: вот мы каким-то образом скомпрометировали пачку пользаков, допустим 50 штук. Как их пометить, как “Owned” и не получить нервный тик. Я придумал вот такое кривое:
Как посмотреть помеченных
Но при этом немного ломается gui-интерфейс - пропадает кнопка “Add To Owned/Remove From Owned”, и вот тут я уже хз.
Это конечно, крайне неудобно, при том, что этот функционал довольно важный при просмотре мисконфигов. И в интернетах информации крайне мало. Надеюсь, у разрабов были причины менять логику работы
Но самое главное, это пляски с пометкой цели как Owned и High Value. В прошлом бладхаунде это было просто:
MATCH (u: User) WHERE u.owned = True RETURN u
Но я удивился, когда обнаружил, что в новой версии свойства owned и highvalue отсутствуют. Ко всему прочему, в дефолтные запросы не завезли манипуляции с этими свойствами. Что делать?
Оказывается, теперь это переехало в свойство system_tags
MATCH (u: User) WHERE u.system_tags is not null RETURN u.name, u.system_tags LIMIT 2000
╒═════════════════════╤════════════════════╕
│u.name │u.system_tags │
╞═════════════════════╪════════════════════╡
│"user1@DOMAIN1.CORP" │"owned" │
├─────────────────────┼────────────────────┤
│"user2@DOMAIN2.CORP" │"admin_tier_0 owned"│
└─────────────────────┴────────────────────┘
Да, разрабы зачем-то решили хранить элементы в строке, разделенной пробелами.
Вопрос: вот мы каким-то образом скомпрометировали пачку пользаков, допустим 50 штук. Как их пометить, как “Owned” и не получить нервный тик. Я придумал вот такое кривое:
WITH ['user1@domain.corp', 'user2@domain.corp', 'user3@domain.corp'] AS userList
MATCH (u:User)
WHERE toLower(u.name) IN userList AND (u.system_tags IS NULL OR u.system_tags = '' OR NOT u.system_tags CONTAINS 'owned')
SET u.system_tags = CASE
WHEN u.system_tags IS NULL OR u.system_tags = '' THEN 'owned'
ELSE u.system_tags + ' owned'
END
RETURN u.name, u.system_tags
Как посмотреть помеченных
MATCH (n)
WHERE n.system_tags CONTAINS 'owned'
RETURN n
Но при этом немного ломается gui-интерфейс - пропадает кнопка “Add To Owned/Remove From Owned”, и вот тут я уже хз.
Это конечно, крайне неудобно, при том, что этот функционал довольно важный при просмотре мисконфигов. И в интернетах информации крайне мало. Надеюсь, у разрабов были причины менять логику работы
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8
Forwarded from Волосатый бублик
While there is no major news recently, take a look at some practical web bugs discovered by an extremely smart (well, probably) person who's also our community member:
— XSS on the Oauth callback URL with CSP bypass leading to zero-click account takeover
— Exploiting Incorrectly Configured Load Balancer with XSS to Steal Cookies
— Critical vulnerability on TP-Link service or how I got 0$
— Forced SSO Session Fixation
— XML External Entity injection with error-based data exfiltration
Check more here!
— XSS on the Oauth callback URL with CSP bypass leading to zero-click account takeover
— Exploiting Incorrectly Configured Load Balancer with XSS to Steal Cookies
— Critical vulnerability on TP-Link service or how I got 0$
— Forced SSO Session Fixation
— XML External Entity injection with error-based data exfiltration
Check more here!
👍4
Очень много людей знают Магаму @casterbyte и его канал. И все мы его знаем как гениального сетевого инженера, который может по винтикам разобрать CISCO и MikroTik, а также он является nightmare для любого сетевика в крупной компании))
Так вот он выпустил свою книгу: Сети глазами хакера by Базаров Магама.
В книге раскрываются следующие темы:
➡️ Настройка дистрибутива Kali Linux для пентеста сетей
➡️ Руководство по пентесту канального уровня сети
➡️ Руководство по пентесту сетей Cisco
➡️ Руководство по пентесту и защите устройств MikroTik
➡️ Рекомендации по пентесту сетей с наименьшим ущербом для инфраструктуры
➡️ Защита сети и сетевого оборудования от хакерских атак
Я уже заказал себе 6 книг. Одну себе, 5 на розыгрыш на канале))
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
Так вот он выпустил свою книгу: Сети глазами хакера by Базаров Магама.
В книге раскрываются следующие темы:
Я уже заказал себе 6 книг. Одну себе, 5 на розыгрыш на канале))
Please open Telegram to view this post
VIEW IN TELEGRAM
5🔥43👍2⚡1
Мегадрон. Строим хакерский беспилотник — дальнобойный и с защитой от глушилок
#дроны #s0i37
Ты сидишь за клавиатурой на одном из верхних этажей охраняемого здания, расположенного посреди закрытой территории в окружении забора с колючей проволокой под напряжением. Ты чувствуешь себя в полной безопасности — за ней следят не только камеры, но и бдительная охрана. За окном раздается подозрительное жужжание, ты отвлекаешься на непонятный источник звука, и этих нескольких секунд достаточно, чтобы на твой компьютер установился бэкдор, а хакер, расположенный в 20 км от тебя, проник в корпоративную сеть. Фантастика? Ничего подобного!
🔓 Читать далее
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
#дроны #s0i37
Ты сидишь за клавиатурой на одном из верхних этажей охраняемого здания, расположенного посреди закрытой территории в окружении забора с колючей проволокой под напряжением. Ты чувствуешь себя в полной безопасности — за ней следят не только камеры, но и бдительная охрана. За окном раздается подозрительное жужжание, ты отвлекаешься на непонятный источник звука, и этих нескольких секунд достаточно, чтобы на твой компьютер установился бэкдор, а хакер, расположенный в 20 км от тебя, проник в корпоративную сеть. Фантастика? Ничего подобного!
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Forwarded from Омский багхантер
Появилась запись нашего с Сергеем доклада про выгорание 😊
Please open Telegram to view this post
VIEW IN TELEGRAM
VK Видео
Сергей Зыбнев и Артём Бельченко. Гори, гори ясно, чтобы не погасло. Выгорание как тренд современной ИБ
Доклад про выгорание. Откуда оно появляется? Почему мы так часто выгораем? И надо ли с ним что‑то делать?
🔥19
Похек
Очень много людей знают Магаму @casterbyte и его канал. И все мы его знаем как гениального сетевого инженера, который может по винтикам разобрать CISCO и MikroTik, а также он является nightmare для любого сетевика в крупной компании)) Так вот он выпустил…
Книги снова в продаже 🕺
Please open Telegram to view this post
VIEW IN TELEGRAM
😁5👍1