#bug_bounty
#burp_suite
DNS Analyzer - Finding DNS vulnerabilities with Burp Suite
https://sec-consult.com/blog/detail/dns-analyzer-finding-dns-vulnerabilities-with-burp-suite/
#burp_suite
DNS Analyzer - Finding DNS vulnerabilities with Burp Suite
https://sec-consult.com/blog/detail/dns-analyzer-finding-dns-vulnerabilities-with-burp-suite/
SEC Consult
DNS Analyzer - Finding DNS vulnerabilities with Burp Suite
A brand-new Burp Suite extension for discovering DNS vulnerabilities in web applications.
«...Частотный анализ - это лишь один из многих способов атаки, большинство из которых намного сложнее, и разработчики современных криптографических алгоритмов должны о них знать...»
Кит Мартин - «Криптография. Как защитить свои данные в цифровом пространстве.»
Кит Мартин - «Криптография. Как защитить свои данные в цифровом пространстве.»
Forwarded from Школа программирования и этичного хакинга «Timcore»
#php
#programming
Интернет магазин с нуля на PHP. Часть 10:
91. Выпуск №90 Контроллер удаления данных в административной панели ч.2.
92. Выпуск №91 Определение браузера Internet Explorer.
93. Выпуск №92 показ изображений при добавлении пользователем.
94. Выпуск №93 множественное добавление файлов на javascript.
95. Выпуск №94 javascript объект FormData.
96. Выпуск №95 асинхронная отправка формы на сервер.
97. Выпуск №96 асинхронный пересчет позиций вывода.
98. Выпуск №97 аккордеон на чистом javascript.
99. Выпуск №98 dragAndDrop добавление файлов.
100. Выпуск №99 javascript: замыкания, события наведения мыши.
https://vk.com/school_timcore?w=wall-80056907_1828
#programming
Интернет магазин с нуля на PHP. Часть 10:
91. Выпуск №90 Контроллер удаления данных в административной панели ч.2.
92. Выпуск №91 Определение браузера Internet Explorer.
93. Выпуск №92 показ изображений при добавлении пользователем.
94. Выпуск №93 множественное добавление файлов на javascript.
95. Выпуск №94 javascript объект FormData.
96. Выпуск №95 асинхронная отправка формы на сервер.
97. Выпуск №96 асинхронный пересчет позиций вывода.
98. Выпуск №97 аккордеон на чистом javascript.
99. Выпуск №98 dragAndDrop добавление файлов.
100. Выпуск №99 javascript: замыкания, события наведения мыши.
https://vk.com/school_timcore?w=wall-80056907_1828
VK
Школа этичного хакинга Timcore
#php@school_timcore
#programming@school_timcore
Интернет магазин с нуля на PHP. Часть 10:
91. Выпуск №90 Контроллер удаления данных в административной панели ч.2.
92. Выпуск №91 Определение браузера Internet Explorer.
93. Выпуск №92 показ изображений при…
#programming@school_timcore
Интернет магазин с нуля на PHP. Часть 10:
91. Выпуск №90 Контроллер удаления данных в административной панели ч.2.
92. Выпуск №91 Определение браузера Internet Explorer.
93. Выпуск №92 показ изображений при…
«...Киберпространство, с которым мы имеем дело, эволюционировало в хаотичной и несогласованной манере, а безопасность почти всегда обеспечивалась с запозданием (а то и вообще отсутствовала). В целом киберпространство полно дыр в безопасности, вызванных слабыми местами в технологиях, плохой интеграцией разных систем,
несоблюдением процедур и неэффективным управлением...»
«...Одно из преимуществ умных духовок, выключателей с интернет-соединением и систем киберотопления в том, что все они имеют достаточно крупные габариты и могут поддерживать криптографию того же типа, которую мы используем в наших телефонах, банковских картах и автомобильных замках...»
Кит Мартин - «Криптография. Как защитить свои данные в цифровом пространстве.»
несоблюдением процедур и неэффективным управлением...»
«...Одно из преимуществ умных духовок, выключателей с интернет-соединением и систем киберотопления в том, что все они имеют достаточно крупные габариты и могут поддерживать криптографию того же типа, которую мы используем в наших телефонах, банковских картах и автомобильных замках...»
Кит Мартин - «Криптография. Как защитить свои данные в цифровом пространстве.»
Здравствуйте, дорогие друзья!
Предоставляем услуги по разработке роботов любой сложности. Что это такое?
- ПАРСЕРЫ для автоматического сбора любой информации с сайтов;
- ТЕЛЕГРАММ УВЕДОМЛЕНИЯ о наступлении каких-либо событий в интернете или на сайтах;
- АВТОМАТИЗАЦИЯ любых рутинных действий в интернете. Заказ ботов позволит Вам избавиться от рутины, запостить мегабайты объявлений, сосканировать любые данные с сайтов в автоматическом режиме по нужной форме, разослать миллионы сообщений по контекстным группам, автоматизировать любые действия в интернете, моделировать работу человека в любом браузере, обойти любые защиты от роботов и ботов.
- БУКМЕКЕРСКИЕ САЙТЫ. Отдельное большое направление по автоматизации. Автоматизация ставок по вашим условиям и заданным критериям.
По вопросам и для приобретения скрипта пишите: @timcore1
Предоставляем услуги по разработке роботов любой сложности. Что это такое?
- ПАРСЕРЫ для автоматического сбора любой информации с сайтов;
- ТЕЛЕГРАММ УВЕДОМЛЕНИЯ о наступлении каких-либо событий в интернете или на сайтах;
- АВТОМАТИЗАЦИЯ любых рутинных действий в интернете. Заказ ботов позволит Вам избавиться от рутины, запостить мегабайты объявлений, сосканировать любые данные с сайтов в автоматическом режиме по нужной форме, разослать миллионы сообщений по контекстным группам, автоматизировать любые действия в интернете, моделировать работу человека в любом браузере, обойти любые защиты от роботов и ботов.
- БУКМЕКЕРСКИЕ САЙТЫ. Отдельное большое направление по автоматизации. Автоматизация ставок по вашим условиям и заданным критериям.
По вопросам и для приобретения скрипта пишите: @timcore1
#bug_bounty
#burp_suite
ParaForge is a simple Burp Suite extension to extract the paramters and endpoints from the request to create custom wordlist for fuzzing and enumeration.
https://github.com/Anof-cyber/ParaForge
#burp_suite
ParaForge is a simple Burp Suite extension to extract the paramters and endpoints from the request to create custom wordlist for fuzzing and enumeration.
https://github.com/Anof-cyber/ParaForge
GitHub
GitHub - Anof-cyber/ParaForge: A BurpSuite extension to create a custom word-list of endpoint and parameters for enumeration and…
A BurpSuite extension to create a custom word-list of endpoint and parameters for enumeration and fuzzing - Anof-cyber/ParaForge
#bug_bounty
#rce
CVE-2023-26258 – Remote Code Execution in ArcServe UDP Backup
https://www.mdsec.co.uk/2023/06/cve-2023-26258-remote-code-execution-in-arcserve-udp-backup/
#rce
CVE-2023-26258 – Remote Code Execution in ArcServe UDP Backup
https://www.mdsec.co.uk/2023/06/cve-2023-26258-remote-code-execution-in-arcserve-udp-backup/
MDSec
CVE-2023-26258 - Remote Code Execution in ArcServe UDP Backup - MDSec
Overview During a recent adversary simulation, the MDSec ActiveBreach red team were performing a ransomware scenario, with a key objective set on compromising the organisation’s backup infrastructure. As part of...
Видео-презентация работы ботов на множестве аккаунтов alienworlds.io для бесплатного сбора криптовалюты TLM и NFT карточек.
Эмуляция человека (задержка нажатия на клавиши и т.д.), сбор криптовалюты TLM и NFT карточек ботами на аккаунтах игры alienworlds.io
По вопросам или для приобретения скрипта пишите в телеграм, по контакту: @timcore1
https://www.youtube.com/watch?v=50-Lh-q7OCA
Эмуляция человека (задержка нажатия на клавиши и т.д.), сбор криптовалюты TLM и NFT карточек ботами на аккаунтах игры alienworlds.io
По вопросам или для приобретения скрипта пишите в телеграм, по контакту: @timcore1
https://www.youtube.com/watch?v=50-Lh-q7OCA
YouTube
Видео-презентация работы ботов на множестве аккаунтов alienworlds.io для бесплатного сбора крипты.
Видео-презентация работы ботов на множестве аккаунтов alienworlds.io для бесплатного сбора криптовалюты TLM и NFT карточек.
Эмуляция человека (задержка нажатия на клавиши и т.д.), сбор криптовалюты TLM и NFT карточек ботами на аккаунтах игры alienworlds.io…
Эмуляция человека (задержка нажатия на клавиши и т.д.), сбор криптовалюты TLM и NFT карточек ботами на аккаунтах игры alienworlds.io…
«...Программист должен всегда работать в сотрудничестве с администраторами и специалистами по безопасности...»
«...Очень много уязвимостей возникает, когда программисты в своем коде убирают лишние символы только в момент использования. Но одна переменная может встречаться в сценарии несколько раз, и были случаи, когда в одном месте программист очищал переменную от опасных символов, а в другом забывал это сделать...»
«...Хакеры очень часто используют SQL-команду INTO OUTFILE для создания дампа таблиц базы данных. Например, взломщик получил доступ к выполнению команд и, сохраняя результат своих запросов в текстовом файле, может потом без проблем скачать этот файл для разбора в свободное время за чашечкой кофе...»
Михаил Фленов - «PHP глазами хакера. 5-е издание.»
«...Очень много уязвимостей возникает, когда программисты в своем коде убирают лишние символы только в момент использования. Но одна переменная может встречаться в сценарии несколько раз, и были случаи, когда в одном месте программист очищал переменную от опасных символов, а в другом забывал это сделать...»
«...Хакеры очень часто используют SQL-команду INTO OUTFILE для создания дампа таблиц базы данных. Например, взломщик получил доступ к выполнению команд и, сохраняя результат своих запросов в текстовом файле, может потом без проблем скачать этот файл для разбора в свободное время за чашечкой кофе...»
Михаил Фленов - «PHP глазами хакера. 5-е издание.»
Здравствуйте, дорогие друзья.
Внимание, акция!!! Продлится 3 дня, с 22-го июля, до 24-го июля включительно.
Комплект всех моих платных книг (их 4-ре) за 1770 рублей.
Четыре книги по цене одной:
1. Книга: «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.»
Объем: 580 страниц.
2. Название: «Уязвимости DVWA. Полное прохождение»
Объем: 291 страниц.
3. Книга: «Kali Linux для начинающих (базовый уровень)».
Объем: 409 страниц.
4. Книга: «Баг Баунти PlayBook».
Объем: 200 страниц.
Для приобретения комплекта их 4-х книг, пишите: @timcore1
Внимание, акция!!! Продлится 3 дня, с 22-го июля, до 24-го июля включительно.
Комплект всех моих платных книг (их 4-ре) за 1770 рублей.
Четыре книги по цене одной:
1. Книга: «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.»
Объем: 580 страниц.
2. Название: «Уязвимости DVWA. Полное прохождение»
Объем: 291 страниц.
3. Книга: «Kali Linux для начинающих (базовый уровень)».
Объем: 409 страниц.
4. Книга: «Баг Баунти PlayBook».
Объем: 200 страниц.
Для приобретения комплекта их 4-х книг, пишите: @timcore1
Forwarded from Школа программирования и этичного хакинга «Timcore»
#php
#programming
Интернет магазин с нуля на PHP. Часть 11:
101. Выпуск №100 javascript поисковые подсказки, события нажатия клавиш.
102. Выпуск №101 javascript drag and drop сортировка. Квест: чужой код.
103. Выпуск №102 javascript drag and drop сортировка.
104. Выпуск №103 подготовка сортируемых данных для отправки на сервер.
105. Выпуск №104 php создание метода сортировки изображений.
106. Выпуск №105 php | js | поиск по административной панели.
107. Выпуск №106 javascript подключение визуального редактора tinymce 5.
108. Выпуск №107 javascript | tinymce 5 | загрузка файлов на сервер.
109. Выпуск №108 поиск по административной панели часть 2.
110. Выпуск №109 поиск по административной панели часть 3.
Предыдущие части: https://vk.com/school_timcore?w=wall-80056907_1839
#programming
Интернет магазин с нуля на PHP. Часть 11:
101. Выпуск №100 javascript поисковые подсказки, события нажатия клавиш.
102. Выпуск №101 javascript drag and drop сортировка. Квест: чужой код.
103. Выпуск №102 javascript drag and drop сортировка.
104. Выпуск №103 подготовка сортируемых данных для отправки на сервер.
105. Выпуск №104 php создание метода сортировки изображений.
106. Выпуск №105 php | js | поиск по административной панели.
107. Выпуск №106 javascript подключение визуального редактора tinymce 5.
108. Выпуск №107 javascript | tinymce 5 | загрузка файлов на сервер.
109. Выпуск №108 поиск по административной панели часть 2.
110. Выпуск №109 поиск по административной панели часть 3.
Предыдущие части: https://vk.com/school_timcore?w=wall-80056907_1839
VK
Школа этичного хакинга Timcore
#php@school_timcore
#programming@school_timcore
Интернет магазин с нуля на PHP. Часть 11:
101. Выпуск №100 javascript поисковые подсказки, события нажатия клавиш.
102. Выпуск №101 javascript drag and drop сортировка. Квест: чужой код.
103. Выпуск №102 javascript…
#programming@school_timcore
Интернет магазин с нуля на PHP. Часть 11:
101. Выпуск №100 javascript поисковые подсказки, события нажатия клавиш.
102. Выпуск №101 javascript drag and drop сортировка. Квест: чужой код.
103. Выпуск №102 javascript…
#hackthebox
#hacking
#htb
HackTheBox - TwoMillion
00:00 - Intro
00:18 - Start of nmap, scanning all ports with min-rate
02:35 - Browsing to the web page and taking a trip down memory lane with the HackTheBox v1 page
04:00 - Attempting to enumerate usernames
05:10 - Solving the HackTheBox Invite Code Challenge
05:50 - Sending the code to JS-Beautify
06:45 - Sending a curl request to /api/v1/invite/how/to/generate to see how to generate an invite code
10:40 - Creating an account and logging into the platform then identifying what we can do
16:50 - Discovering hitting /api/v1/ provides a list of API Routes, going over them and identifying any dangerous ones
17:50 - Attempting a mass assignment vulnerability upon logging in now that we know there is an is_admin flag
22:30 - Playing with the /api/v1/admin/settings/update route and discovering we can hit this as our user and change our role to admin
24:30 - Now that we are admin, playing with /api/v1/admin/vpn/generate and finding a command injection vulnerability
26:15 - Got a shell on the box, finding a password in an environment variable and attempting to crack the user passwords
30:00 - Re-using the database password to login as admin, discovering mail that hints at using a kernel privesc
32:00 - Searching for the OverlayFS Kernel Exploit
35:00 - Finding a proof of concept for CVE-2023-0386, seems sketchy but GCC is on the HTB Machine so i don't feel bad about running it
37:27 - Running the exploit and getting Root, finding an extra challenge thank_you.json, which is can be done pretty much in CyberChef
42:20 - Looking deeper at the invite code challenge to see if it was vulnerable to Type Juggling (it was back in the day but not anymore)
43:30 - Testing for command injection with a poisoned username
47:20 - Didn't work, looking at the source code and discovering it had sanitized usernames on the non-admin function
https://www.youtube.com/watch?v=Exl4P3fsF7U
#hacking
#htb
HackTheBox - TwoMillion
00:00 - Intro
00:18 - Start of nmap, scanning all ports with min-rate
02:35 - Browsing to the web page and taking a trip down memory lane with the HackTheBox v1 page
04:00 - Attempting to enumerate usernames
05:10 - Solving the HackTheBox Invite Code Challenge
05:50 - Sending the code to JS-Beautify
06:45 - Sending a curl request to /api/v1/invite/how/to/generate to see how to generate an invite code
10:40 - Creating an account and logging into the platform then identifying what we can do
16:50 - Discovering hitting /api/v1/ provides a list of API Routes, going over them and identifying any dangerous ones
17:50 - Attempting a mass assignment vulnerability upon logging in now that we know there is an is_admin flag
22:30 - Playing with the /api/v1/admin/settings/update route and discovering we can hit this as our user and change our role to admin
24:30 - Now that we are admin, playing with /api/v1/admin/vpn/generate and finding a command injection vulnerability
26:15 - Got a shell on the box, finding a password in an environment variable and attempting to crack the user passwords
30:00 - Re-using the database password to login as admin, discovering mail that hints at using a kernel privesc
32:00 - Searching for the OverlayFS Kernel Exploit
35:00 - Finding a proof of concept for CVE-2023-0386, seems sketchy but GCC is on the HTB Machine so i don't feel bad about running it
37:27 - Running the exploit and getting Root, finding an extra challenge thank_you.json, which is can be done pretty much in CyberChef
42:20 - Looking deeper at the invite code challenge to see if it was vulnerable to Type Juggling (it was back in the day but not anymore)
43:30 - Testing for command injection with a poisoned username
47:20 - Didn't work, looking at the source code and discovering it had sanitized usernames on the non-admin function
https://www.youtube.com/watch?v=Exl4P3fsF7U
YouTube
HackTheBox - TwoMillion
00:00 - Intro
00:18 - Start of nmap, scanning all ports with min-rate
02:35 - Browsing to the web page and taking a trip down memory lane with the HackTheBox v1 page
04:00 - Attempting to enumerate usernames
05:10 - Solving the HackTheBox Invite Code Challenge…
00:18 - Start of nmap, scanning all ports with min-rate
02:35 - Browsing to the web page and taking a trip down memory lane with the HackTheBox v1 page
04:00 - Attempting to enumerate usernames
05:10 - Solving the HackTheBox Invite Code Challenge…
#bug_bounty
#bug_hunting
#4 Bug Bounty. Плюсы и минусы платформ Баг-Баунти.
Здравствуйте, дорогие друзья.
В этом видео освещаю информацию по поводу плюсов и минусов платформ Баг-Баунти. Это интересная тематика, которая заставляет задуматься о выборе пути в БагХантинге.
Более подробнее в видео.
Благодарю за внимание.
https://www.youtube.com/watch?v=_5axIN1JFa0
#bug_hunting
#4 Bug Bounty. Плюсы и минусы платформ Баг-Баунти.
Здравствуйте, дорогие друзья.
В этом видео освещаю информацию по поводу плюсов и минусов платформ Баг-Баунти. Это интересная тематика, которая заставляет задуматься о выборе пути в БагХантинге.
Более подробнее в видео.
Благодарю за внимание.
https://www.youtube.com/watch?v=_5axIN1JFa0
YouTube
#4 Bug Bounty. Плюсы и минусы платформ Баг-Баунти.
#4 Bug Bounty. Плюсы и минусы платформ Баг-Баунти.
Здравствуйте, дорогие друзья.
В этом видео освещаю информацию по поводу плюсов и минусов платформ Баг-Баунти. Это интересная тематика, которая заставляет задуматься о выборе пути в БагХантинге.
Более подробнее…
Здравствуйте, дорогие друзья.
В этом видео освещаю информацию по поводу плюсов и минусов платформ Баг-Баунти. Это интересная тематика, которая заставляет задуматься о выборе пути в БагХантинге.
Более подробнее…
Книга: «Пост-эксплуатация веб-сервера.»
Здравствуйте, дорогие друзья.
В этой книге рассматривается одно из самых интересных действий, после взлома или компрометации сервера.
Объем: 90 страниц.
Цена: 710 рублей.
В этой фазе злоумышленник уже получил доступ к серверу и его целью является сохранение этого доступа и дальнейшее использование его для своих целей.
Для приобретения пишите по контакту: @timcore1
Здравствуйте, дорогие друзья.
В этой книге рассматривается одно из самых интересных действий, после взлома или компрометации сервера.
Объем: 90 страниц.
Цена: 710 рублей.
В этой фазе злоумышленник уже получил доступ к серверу и его целью является сохранение этого доступа и дальнейшее использование его для своих целей.
Для приобретения пишите по контакту: @timcore1
#bug_bounty
#bug_hunting
#5 Bug Bounty - Скоуп, выплаты и время отклика.
Здравствуйте, дорогие друзья.
На каждой странице программы Bug Bounty часто перечислены метрики, чтобы помочь Вам оценить программу. Эти показатели дают представление, насколько легко Вы сможете найти ошибки, сколько Вы можете получить денег, и насколько хорошо работает программа.
Более подробнее в видео. Приятного просмотра!
https://www.youtube.com/watch?v=1phNJ-6kx-s
#bug_hunting
#5 Bug Bounty - Скоуп, выплаты и время отклика.
Здравствуйте, дорогие друзья.
На каждой странице программы Bug Bounty часто перечислены метрики, чтобы помочь Вам оценить программу. Эти показатели дают представление, насколько легко Вы сможете найти ошибки, сколько Вы можете получить денег, и насколько хорошо работает программа.
Более подробнее в видео. Приятного просмотра!
https://www.youtube.com/watch?v=1phNJ-6kx-s