#bug_bounty
Two XSS Vulnerabilities in Azure with Embedded postMessage IFrames
https://orca.security/resources/blog/examining-two-xss-vulnerabilities-in-azure-services/
Two XSS Vulnerabilities in Azure with Embedded postMessage IFrames
https://orca.security/resources/blog/examining-two-xss-vulnerabilities-in-azure-services/
Orca Security
Two XSS Vulnerabilities in Azure with Embedded postMessage IFrames
In this blog post, we will describe two vulnerabilities Orca found in Azure Bastion and Azure Container Registry—that allow Cross-Site Scripting (XSS) attacks.
#bug_bounty
chonked pt.2: exploiting cve-2023-33476 for remote code execution
https://blog.coffinsec.com/0day/2023/06/19/minidlna-cve-2023-33476-exploits.html
chonked pt.2: exploiting cve-2023-33476 for remote code execution
https://blog.coffinsec.com/0day/2023/06/19/minidlna-cve-2023-33476-exploits.html
hyprblog
chonked pt.2: exploiting cve-2023-33476 for remote code execution
second part in a two-part series going over heap overflow in MiniDLNA (CVE-2023-33476). this post provides a walkthrough of steps taken to write an exploit for this vulnerability in order to achieve remote code execution and pop a shell.
«...Эта неопределенность в какой-то мере объясняет скептицизм по отношению к новым алгоритмам ассиметричного шифрования: они основаны на вычислительных задачах, исследованных не так глубоко и тщательно, как разложение на множители и дискретное логарифмирование...»
«...Возможно, это прозвучит неожиданно, но хеш-функции - один из полезнейших когда-либо придуманных криптографических инструментов. В отличие от алгоритмов шифрования, они мало что могут сами по себе, но в качестве вспомогательного средства для более сложных криптографических операций они незаменимы...»
Кит Мартин - «Криптография. Как защитить свои данные в цифровом пространстве.»
«...Возможно, это прозвучит неожиданно, но хеш-функции - один из полезнейших когда-либо придуманных криптографических инструментов. В отличие от алгоритмов шифрования, они мало что могут сами по себе, но в качестве вспомогательного средства для более сложных криптографических операций они незаменимы...»
Кит Мартин - «Криптография. Как защитить свои данные в цифровом пространстве.»
Очень хорошая книга про криптографию, для любого уровня развития и знаний в этой области, но больше в сторону начинающих.
Особенно описание алгоритмов шифрования понравились. Примеры живые, которые запоминаются, а не типичная "Алиса" и "Боб".
В целом, доволен от книги.
https://www.ozon.ru/product/kriptografiya-kak-zashchitit-svoi-dannye-v-tsifrovom-prostranstve-martin-kit-802099362/
Особенно описание алгоритмов шифрования понравились. Примеры живые, которые запоминаются, а не типичная "Алиса" и "Боб".
В целом, доволен от книги.
https://www.ozon.ru/product/kriptografiya-kak-zashchitit-svoi-dannye-v-tsifrovom-prostranstve-martin-kit-802099362/
#news
#0day
«Вторник обновлений»: Microsoft патчит 130 уязвимостей, включая шесть уязвимостей нулевого дня
Июльские обновления Microsoft исправляют 132 уязвимости в продуктах компании, включая шесть активно эксплуатируемых 0-day, а также 37 багов, позволяющих осуществить удаленное выполнение произвольного кода. При этом одна из RCE-проблем остается неисправленной и активно используется в атаках, которые уже обнаружили многочисленные ИБ-специалисты.
Источник: https://xakep.ru/2023/07/12/july-2023-patches/
#0day
«Вторник обновлений»: Microsoft патчит 130 уязвимостей, включая шесть уязвимостей нулевого дня
Июльские обновления Microsoft исправляют 132 уязвимости в продуктах компании, включая шесть активно эксплуатируемых 0-day, а также 37 багов, позволяющих осуществить удаленное выполнение произвольного кода. При этом одна из RCE-проблем остается неисправленной и активно используется в атаках, которые уже обнаружили многочисленные ИБ-специалисты.
Источник: https://xakep.ru/2023/07/12/july-2023-patches/
XAKEP
«Вторник обновлений»: Microsoft патчит 130 уязвимостей, включая шесть уязвимостей нулевого дня
Июльские обновления Microsoft исправляют 132 уязвимости в продуктах компании, включая шесть активно эксплуатируемых 0-day, а также 37 багов, позволяющих осуществить удаленное выполнение произвольного кода. При этом одна из RCE-проблем остается неисправленной…
#news
Наставник создателя Silk Road, Росса Ульбрихта, получил 20 лет тюрьмы
Американские власти сообщили, что на этой неделе главный советник Silk Road, известный в сети под ником Variety Jones (настоящее имя — Роджер Томас Кларк), был приговорен к 20 годам лишения свободы. Сообщается, что именно 61-летний Роджер Томас Кларк убеждал создателя Silk Road, Росса Ульбрихта, нанять наемного убийцу для защиты своей наркоимперии.
Источник: https://xakep.ru/2023/07/12/variety-jones-sentenced/
Наставник создателя Silk Road, Росса Ульбрихта, получил 20 лет тюрьмы
Американские власти сообщили, что на этой неделе главный советник Silk Road, известный в сети под ником Variety Jones (настоящее имя — Роджер Томас Кларк), был приговорен к 20 годам лишения свободы. Сообщается, что именно 61-летний Роджер Томас Кларк убеждал создателя Silk Road, Росса Ульбрихта, нанять наемного убийцу для защиты своей наркоимперии.
Источник: https://xakep.ru/2023/07/12/variety-jones-sentenced/
XAKEP
Наставник создателя Silk Road, Росса Ульбрихта, получил 20 лет тюрьмы
Американские власти сообщили, что на этой неделе главный советник Silk Road, известный в сети под ником Variety Jones (настоящее имя — Роджер Томас Кларк), был приговорен к 20 годам лишения свободы. Сообщается, что именно 61-летний Роджер Томас Кларк убеждал…
#bug_bounty
CVE-2023-27997 Vulnerability Scanner for FortiGate Firewalls
https://bishopfox.com/blog/cve-2023-27997-vulnerability-scanner-fortigate
CVE-2023-27997 Vulnerability Scanner for FortiGate Firewalls
https://bishopfox.com/blog/cve-2023-27997-vulnerability-scanner-fortigate
Bishop Fox
CVE-2023-27997 Vulnerability Scanner for FortiGate Firewalls
Learn how to implement Bishop Fox's latest vulnerability assessment tool that runs a script to detects if firewalls are vulnerable to CVE-2023-27997.
Forwarded from Школа программирования и этичного хакинга «Timcore»
#php
#programming
Интернет магазин с нуля на PHP. Часть 8:
71. Выпуск №70 парсер сайтов устранение ошибок с битыми ссылками.
72. Выпуск №71 обратимое шифрование openssl.
73. Выпуск №72 модернизация системы шифрования.
74. Выпуск №73 обратимое шифрование openssl дешифровка данных.
75. Выпуск №74 Mysql связи многие ко многим (mysql many to many).
76. Выпуск №75 структуризация данных при присоединении таблиц через join.
77. Выпуск №76 обработка данных после присоединения таблиц через join.
78. Выпуск №77 создание метода модели для формирования псевдонимов таблиц.
79. Выпуск №78 доработка методов модели для работы с псевдонимами таблиц.
80. Выпуск №79 доработка методов модели для работы с псевдонимами таблиц.
https://vk.com/school_timcore?w=wall-80056907_1813
#programming
Интернет магазин с нуля на PHP. Часть 8:
71. Выпуск №70 парсер сайтов устранение ошибок с битыми ссылками.
72. Выпуск №71 обратимое шифрование openssl.
73. Выпуск №72 модернизация системы шифрования.
74. Выпуск №73 обратимое шифрование openssl дешифровка данных.
75. Выпуск №74 Mysql связи многие ко многим (mysql many to many).
76. Выпуск №75 структуризация данных при присоединении таблиц через join.
77. Выпуск №76 обработка данных после присоединения таблиц через join.
78. Выпуск №77 создание метода модели для формирования псевдонимов таблиц.
79. Выпуск №78 доработка методов модели для работы с псевдонимами таблиц.
80. Выпуск №79 доработка методов модели для работы с псевдонимами таблиц.
https://vk.com/school_timcore?w=wall-80056907_1813
VK
Школа этичного хакинга Timcore. Пост со стены.
#php@school_timcore
#programming@school_timcore
Интернет магазин с нуля на PHP. Часть 8:<b... Смотрите полностью ВКонтакте.
#programming@school_timcore
Интернет магазин с нуля на PHP. Часть 8:<b... Смотрите полностью ВКонтакте.
Здравствуйте, дорогие друзья.
Внимание, акция!!! Продлится 3 дня, с 14-го июля, до 16-го июля включительно.
Комплект из 4-х книг за 1200 рублей.
Две книги по цене одной:
1. Книга: «Kali Linux для начинающих (базовый уровень)».
2. Книга: «Баг Баунти PlayBook».
Плюс 2 бонусные книги, абсолютно бесплатно:
1. Книга: «Уязвимость SQL-инъекция. Практическое руководство для хакеров.»
2. Книга: «Уязвимость Cross-Site Scripting XSS. Практическое руководство для хакеров.»
Цена за весь комплект: 1200 рублей.
Подробнее в посте: https://vk.com/hacker_timcore?w=wall-44038255_7975
Для приобретения пишите по контактам: @timcore1
Внимание, акция!!! Продлится 3 дня, с 14-го июля, до 16-го июля включительно.
Комплект из 4-х книг за 1200 рублей.
Две книги по цене одной:
1. Книга: «Kali Linux для начинающих (базовый уровень)».
2. Книга: «Баг Баунти PlayBook».
Плюс 2 бонусные книги, абсолютно бесплатно:
1. Книга: «Уязвимость SQL-инъекция. Практическое руководство для хакеров.»
2. Книга: «Уязвимость Cross-Site Scripting XSS. Практическое руководство для хакеров.»
Цена за весь комплект: 1200 рублей.
Подробнее в посте: https://vk.com/hacker_timcore?w=wall-44038255_7975
Для приобретения пишите по контактам: @timcore1
#news
Microsoft: китайская хак-группа Storm-0558 взломала правительственную почту в США и Европе
Группировка Storm-0558 взломала почтовые ящики более двух десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы. Хакеры получили доступ к чужим учетным записям электронной почты с помощью Outlook Web Access в Exchange Online (OWA) и Outlook.com, подделав токены аутентификации.
Источник: https://xakep.ru/2023/07/13/storm-0558-attack/
Microsoft: китайская хак-группа Storm-0558 взломала правительственную почту в США и Европе
Группировка Storm-0558 взломала почтовые ящики более двух десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы. Хакеры получили доступ к чужим учетным записям электронной почты с помощью Outlook Web Access в Exchange Online (OWA) и Outlook.com, подделав токены аутентификации.
Источник: https://xakep.ru/2023/07/13/storm-0558-attack/
XAKEP
Microsoft: китайская хак-группа Storm-0558 взломала правительственную почту в США и Европе
Группировка Storm-0558 взломала почтовые ящики более двух десятков организаций по всему миру, включая правительственные учреждения в США и странах Западной Европы. Хакеры получили доступ к чужим учетным записям электронной почты с помощью Outlook Web Access…
#news
ИБ-специалиста обвинили во взломе криптовалютной биржи и краже 9 млн долларов
Американские власти сообщили об аресте ИБ-специалиста Шакиба Ахмеда (Shakeeb Ahmed), которого обвиняют во взломе неназванной криптовалютной биржи и краже примерно 9 млн долларов США.
Источник: https://xakep.ru/2023/07/14/shakeeb-ahmed-hack/
ИБ-специалиста обвинили во взломе криптовалютной биржи и краже 9 млн долларов
Американские власти сообщили об аресте ИБ-специалиста Шакиба Ахмеда (Shakeeb Ahmed), которого обвиняют во взломе неназванной криптовалютной биржи и краже примерно 9 млн долларов США.
Источник: https://xakep.ru/2023/07/14/shakeeb-ahmed-hack/
XAKEP
ИБ-специалиста обвинили во взломе криптовалютной биржи и краже 9 млн долларов
Американские власти сообщили об аресте ИБ-специалиста Шакиба Ахмеда (Shakeeb Ahmed), которого обвиняют во взломе неназванной криптовалютной биржи и краже примерно 9 млн долларов США.
Forwarded from Школа программирования и этичного хакинга «Timcore»
#php
#programming
Интернет магазин с нуля на PHP. Часть 9:
81. Выпуск №80 зачем нужны универсальные методы в административной панели.
82. Выпуск №81 автоматизация связей многие ко многим. Часть 1.
83. Выпуск №82 автоматизация связей многие ко многим. Часть 2.
84. Выпуск №83 автоматизация связей многие ко многим. Часть 3.
85. Выпуск №84 автоматизация связей многие ко многим. Часть 4.
86. Выпуск №85 Подключение шаблона вывода связей многие ко многим.
87. Выпуск №86 Метод для добавления связей многие ко многим в БД.
88. Выпуск №87 Метод формирования позиции вывода записей из базы данных.
89. Выпуск №88 Контроллер редактирования данных в административной панели.
90. Выпуск №89 Контроллер удаления данных в административной панели ч.1.
https://vk.com/school_timcore?w=wall-80056907_1819
#programming
Интернет магазин с нуля на PHP. Часть 9:
81. Выпуск №80 зачем нужны универсальные методы в административной панели.
82. Выпуск №81 автоматизация связей многие ко многим. Часть 1.
83. Выпуск №82 автоматизация связей многие ко многим. Часть 2.
84. Выпуск №83 автоматизация связей многие ко многим. Часть 3.
85. Выпуск №84 автоматизация связей многие ко многим. Часть 4.
86. Выпуск №85 Подключение шаблона вывода связей многие ко многим.
87. Выпуск №86 Метод для добавления связей многие ко многим в БД.
88. Выпуск №87 Метод формирования позиции вывода записей из базы данных.
89. Выпуск №88 Контроллер редактирования данных в административной панели.
90. Выпуск №89 Контроллер удаления данных в административной панели ч.1.
https://vk.com/school_timcore?w=wall-80056907_1819
VK
Школа этичного хакинга Timcore
#php@school_timcore
#programming@school_timcore
Интернет магазин с нуля на PHP. Часть 9:
81. Выпуск №80 зачем нужны универсальные методы в административной панели.
82. Выпуск №81 автоматизация связей многие ко многим. Часть 1.
83. Выпуск №82 автоматизация…
#programming@school_timcore
Интернет магазин с нуля на PHP. Часть 9:
81. Выпуск №80 зачем нужны универсальные методы в административной панели.
82. Выпуск №81 автоматизация связей многие ко многим. Часть 1.
83. Выпуск №82 автоматизация…
#kali_linux
#exploit
#89 Kali Linux для продвинутого тестирования на проникновение. Эксплуатация. Использование общедоступных эксплойтов.
Каждый взломщик всегда смотрит в оба, ищет общедоступные эксплойты, и модифицирует их в соответствии к их требованиям. Например, ProxyLogon, который качали большинство компаний, используют локальные серверы Exchange, на которых размещены все их критически важные деловые электронные письма.
Подробнее: https://timcore.ru/2023/07/17/89-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-jekspluatacija-ispolzovanie-obshhedostupnyh-jeksplojtov/
#exploit
#89 Kali Linux для продвинутого тестирования на проникновение. Эксплуатация. Использование общедоступных эксплойтов.
Каждый взломщик всегда смотрит в оба, ищет общедоступные эксплойты, и модифицирует их в соответствии к их требованиям. Например, ProxyLogon, который качали большинство компаний, используют локальные серверы Exchange, на которых размещены все их критически важные деловые электронные письма.
Подробнее: https://timcore.ru/2023/07/17/89-kali-linux-dlja-prodvinutogo-testirovanija-na-proniknovenie-jekspluatacija-ispolzovanie-obshhedostupnyh-jeksplojtov/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#89 Kali Linux для продвинутого тестирования на проникновение. Эксплуатация. Использование общедоступных эксплойтов. - Этичный…
Каждый взломщик всегда смотрит в оба, ищет общедоступные эксплойты, и модифицирует их в соответствии к их требованиям. Например, ProxyLogon, который качали большинство компаний, используют локальные серверы Exchange, на которых размещены все их критически…
Здравствуйте, дорогие друзья. Внимание!!!
Временная 3-х дневная скидка 78% на видеокурс: «Этичный взлом».
Скидка действует 17, 18, и 19 июля включительно.
1 модуль- «Пентест с помощью Kali Linux.» - 6 часов.
2 модуль-«Kali Linux для начинающих». - 7 часов.
3 модуль-«Тестирование на проникновение (пентест) с помощью Nmap, OpenVAS и Metasploit». - 3 часа 30 минут.
4 модуль-Уязвимости DVWA (Полное прохождение). - 3 часа 19 минут.
5 модуль-«Хакинг систем» ~ 1 час.
6 модуль - «SQL-Инъекция» - : 1 час 50 минут.
7 модуль -"Курс молодого бойца. Решение CTF." - 1 час 15 минут.
8 модуль - CTF. Web. Задания с Root-Me для не новичков. ~ 1 час.
9 - 18 модуль. Книга: «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.» ~ 7 часов
Итого продолжительность: 31 час 14 минут.
Стоимость: 5500 рублей.
Отзывы о курсе вот здесь: https://vk.com/topic-44038255_49120521
Для приобретения пишите в телеграм:@timcore1, а также перейдя по ссылке на товар:
https://vk.com/hacker_timcore?w=product-44038255_6082367
Временная 3-х дневная скидка 78% на видеокурс: «Этичный взлом».
Скидка действует 17, 18, и 19 июля включительно.
1 модуль- «Пентест с помощью Kali Linux.» - 6 часов.
2 модуль-«Kali Linux для начинающих». - 7 часов.
3 модуль-«Тестирование на проникновение (пентест) с помощью Nmap, OpenVAS и Metasploit». - 3 часа 30 минут.
4 модуль-Уязвимости DVWA (Полное прохождение). - 3 часа 19 минут.
5 модуль-«Хакинг систем» ~ 1 час.
6 модуль - «SQL-Инъекция» - : 1 час 50 минут.
7 модуль -"Курс молодого бойца. Решение CTF." - 1 час 15 минут.
8 модуль - CTF. Web. Задания с Root-Me для не новичков. ~ 1 час.
9 - 18 модуль. Книга: «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.» ~ 7 часов
Итого продолжительность: 31 час 14 минут.
Стоимость: 5500 рублей.
Отзывы о курсе вот здесь: https://vk.com/topic-44038255_49120521
Для приобретения пишите в телеграм:@timcore1, а также перейдя по ссылке на товар:
https://vk.com/hacker_timcore?w=product-44038255_6082367
#news
Админ BreachForums признал себя виновным. Ему грозит до 40 лет тюрьмы
Владелец и администратор закрытого недавно форума BreachForums (он же Breached) Коннор Брайан Фитцпатрик (Conor Brian FitzPatric), также известный под ником Pompompurin, признал себя виновным по трем пунктам обвинения, включая хранение детской порнографии.
Источник: https://xakep.ru/2023/07/17/pompompurin-pleads-guilty/
Админ BreachForums признал себя виновным. Ему грозит до 40 лет тюрьмы
Владелец и администратор закрытого недавно форума BreachForums (он же Breached) Коннор Брайан Фитцпатрик (Conor Brian FitzPatric), также известный под ником Pompompurin, признал себя виновным по трем пунктам обвинения, включая хранение детской порнографии.
Источник: https://xakep.ru/2023/07/17/pompompurin-pleads-guilty/
XAKEP
Админ BreachForums признал себя виновным. Ему грозит до 40 лет тюрьмы
Владелец и администратор закрытого недавно форума BreachForums (он же Breached) Коннор Брайан Фитцпатрик (Conor Brian FitzPatric), также известный под ником Pompompurin, признал себя виновным по трем пунктам обвинения, включая хранение детской порнографии.
#news
Инфраструктура маркетплейса Genesis продана другим преступникам
Хакерская группировка, стоящая за даркнет-маркетплейсом Genesis Market, заявила, что платформу продали неназванному покупателю. Интересно, что всего три месяца назад власти США наложили санкции на Genesis Market, конфисковали некоторые из его доменов и утверждали, что получили доступ к бэкэнду.
Источник: https://xakep.ru/2023/07/17/genesis-market-sold/
Инфраструктура маркетплейса Genesis продана другим преступникам
Хакерская группировка, стоящая за даркнет-маркетплейсом Genesis Market, заявила, что платформу продали неназванному покупателю. Интересно, что всего три месяца назад власти США наложили санкции на Genesis Market, конфисковали некоторые из его доменов и утверждали, что получили доступ к бэкэнду.
Источник: https://xakep.ru/2023/07/17/genesis-market-sold/
XAKEP
Инфраструктура маркетплейса Genesis продана другим преступникам
Хакерская группировка, стоящая за даркнет-маркетплейсом Genesis Market, заявила, что платформу продали неназванному покупателю. Интересно, что всего три месяца назад власти США наложили санкции на Genesis Market, конфисковали некоторые из его доменов и утверждали…
#bug_bounty
Callisto - An Intelligent Binary Vulnerability Analysis Tool
https://github.com/JetP1ane/Callisto
Callisto - An Intelligent Binary Vulnerability Analysis Tool
https://github.com/JetP1ane/Callisto
GitHub
GitHub - JetP1ane/Callisto: Callisto - An Intelligent Binary Vulnerability Analysis Tool
Callisto - An Intelligent Binary Vulnerability Analysis Tool - JetP1ane/Callisto