#news
Из-за ошибки банкоматы в Ирландии выдавали деньги людям с пустыми банковскими счетами
Из-за технического сбоя в системах Банка Ирландии клиенты получили возможность снять в банкоматах 1000 евро, даже если на их счетах было пусто. СМИ сообщают, что возле банкоматов повсеместно образовывались очереди, и в некоторых случаях в ситуацию пришлось вмешиваться полиции.
Источник: https://xakep.ru/2023/08/17/bank-of-ireland-money/
Из-за ошибки банкоматы в Ирландии выдавали деньги людям с пустыми банковскими счетами
Из-за технического сбоя в системах Банка Ирландии клиенты получили возможность снять в банкоматах 1000 евро, даже если на их счетах было пусто. СМИ сообщают, что возле банкоматов повсеместно образовывались очереди, и в некоторых случаях в ситуацию пришлось вмешиваться полиции.
Источник: https://xakep.ru/2023/08/17/bank-of-ireland-money/
XAKEP
Из-за ошибки банкоматы в Ирландии выдавали деньги людям с пустыми банковскими счетами
Из-за технического сбоя в системах Банка Ирландии клиенты получили возможность снять в банкоматах 1000 евро, даже если на их счетах было пусто. СМИ сообщают, что возле банкоматов повсеместно образовывались очереди, и в некоторых случаях в ситуацию пришлось…
#books
#chat_gpt
Название: ChatGPT Prompts Mastering: A Guide to Crafting Clear and Effective Prompts – Beginners to Advanced Guide
Автор: Christian Brown
Год: 2023
В этом исчерпывающем руководстве вы узнаете все, что вам нужно знать о создании четких и эффективных запросах ChatGPT, которые способствуют увлекательным и информативным беседам.
Будь вы новичок или опытный пользователь ChatGPT, в этой книге найдется что-то для каждого. От понимания принципов эффективных запросов до овладения искусством создания четких и лаконичных запросов, а также вы получите навыки и знания, необходимые для того, чтобы поднять ваши беседы в ChatGPT на новый уровень.
Скачать.
#chat_gpt
Название: ChatGPT Prompts Mastering: A Guide to Crafting Clear and Effective Prompts – Beginners to Advanced Guide
Автор: Christian Brown
Год: 2023
В этом исчерпывающем руководстве вы узнаете все, что вам нужно знать о создании четких и эффективных запросах ChatGPT, которые способствуют увлекательным и информативным беседам.
Будь вы новичок или опытный пользователь ChatGPT, в этой книге найдется что-то для каждого. От понимания принципов эффективных запросов до овладения искусством создания четких и лаконичных запросов, а также вы получите навыки и знания, необходимые для того, чтобы поднять ваши беседы в ChatGPT на новый уровень.
Скачать.
#news
Хакеры используют Cloudflare R2 для размещения фишинговых страниц
По информации аналитиков Netskope, за последние полгода злоумышленники в 61 раз чаще стали злоупотреблять возможностями Cloudflare R2 для размещения фишинговых страниц.
Источник: https://xakep.ru/2023/08/17/cloudflare-r2-phishing/
Хакеры используют Cloudflare R2 для размещения фишинговых страниц
По информации аналитиков Netskope, за последние полгода злоумышленники в 61 раз чаще стали злоупотреблять возможностями Cloudflare R2 для размещения фишинговых страниц.
Источник: https://xakep.ru/2023/08/17/cloudflare-r2-phishing/
XAKEP
Хакеры используют Cloudflare R2 для размещения фишинговых страниц
По информации аналитиков Netskope, за последние полгода злоумышленники в 61 раз чаще стали злоупотреблять возможностями Cloudflare R2 для размещения фишинговых страниц.
#bug_bounty
#xss
Exploiting XSS in hidden inputs and meta tags
https://portswigger.net/research/exploiting-xss-in-hidden-inputs-and-meta-tags
#xss
Exploiting XSS in hidden inputs and meta tags
https://portswigger.net/research/exploiting-xss-in-hidden-inputs-and-meta-tags
PortSwigger Research
Exploiting XSS in hidden inputs and meta tags
In this post we are going to show how you can (ab)use the new HTML popup functionality in Chrome to exploit XSS in meta tags and hidden inputs. It all started when I noticed the new popover behaviour
#bug_bounty
#cve
CVE-2023-27997 Is Exploitable, and 69% of FortiGate Firewalls Are Vulnerable
https://bishopfox.com/blog/cve-2023-27997-exploitable-and-fortigate-firewalls-vulnerable
#cve
CVE-2023-27997 Is Exploitable, and 69% of FortiGate Firewalls Are Vulnerable
https://bishopfox.com/blog/cve-2023-27997-exploitable-and-fortigate-firewalls-vulnerable
Bishop Fox
CVE-2023-27997 is Exploitable, and 69% of FortiGate Firewalls on…
Learn more about analysis on CVE-2023-27997, a heap overflow in FortiOS, the operating system behind FortiGate firewalls, enabling remote code execution.
#books
Название: Apache Kafka. Потоковая обработка и анализ данных. 2-е изд.
Авторы: Гвен Шапира, Тодд Палино, Раджини Сиварам, Крит Петти
Год: 2023
При работе любого enterprise-приложения образуются данные: это файлы логов, метрики, информация об активности пользователей, исходящие сообщения и т. п. Правильные манипуляции над всеми этими данными не менее важны, чем сами данные. Если вы — архитектор, разработчик или выпускающий инженер, желающий решать подобные проблемы, но пока не знакомы с Apache Kafka, то именно отсюда узнаете, как работать с этой свободной потоковой платформой,
позволяющей обрабатывать очереди данных в реальном времени.
Cкачать.
Название: Apache Kafka. Потоковая обработка и анализ данных. 2-е изд.
Авторы: Гвен Шапира, Тодд Палино, Раджини Сиварам, Крит Петти
Год: 2023
При работе любого enterprise-приложения образуются данные: это файлы логов, метрики, информация об активности пользователей, исходящие сообщения и т. п. Правильные манипуляции над всеми этими данными не менее важны, чем сами данные. Если вы — архитектор, разработчик или выпускающий инженер, желающий решать подобные проблемы, но пока не знакомы с Apache Kafka, то именно отсюда узнаете, как работать с этой свободной потоковой платформой,
позволяющей обрабатывать очереди данных в реальном времени.
Cкачать.
Название: Mastering Reverse Engineering Re-engineer your ethical hacking skills
Автор: Reginald Wong
Год: 2018
Если вы хотите анализировать программное обеспечение, чтобы использовать его слабые стороны и укрепить его защиту, вам следует заняться реверс-инжинирингом.
Реверс-инжиниринг — удобный для хакеров инструмент, используемый для выявления недостатков безопасности и сомнительных методов обеспечения конфиденциальности. Из этой книги вы узнаете, как анализировать программное обеспечение, даже не имея доступа к его исходному коду или проектной документации. Вы начнете с изучения низкоуровневого языка, используемого для связи с компьютером, а затем перейдете к методам обратного проектирования. Далее вы изучите методы анализа с использованием реальных инструментов, таких как IDA Pro и x86dbg.
Cкачать.
Автор: Reginald Wong
Год: 2018
Если вы хотите анализировать программное обеспечение, чтобы использовать его слабые стороны и укрепить его защиту, вам следует заняться реверс-инжинирингом.
Реверс-инжиниринг — удобный для хакеров инструмент, используемый для выявления недостатков безопасности и сомнительных методов обеспечения конфиденциальности. Из этой книги вы узнаете, как анализировать программное обеспечение, даже не имея доступа к его исходному коду или проектной документации. Вы начнете с изучения низкоуровневого языка, используемого для связи с компьютером, а затем перейдете к методам обратного проектирования. Далее вы изучите методы анализа с использованием реальных инструментов, таких как IDA Pro и x86dbg.
Cкачать.
#hackthebox
#htb
#hacking
HackTheBox - Stocker
00:00 - Introduction
00:56 - Start of nmap
02:15 - Running Gobuster in VHOST Detection mode to find the dev subdomain
03:50 - Intercepting a request to dev.stocker.htb and seeing an connect.sid cookie and x-powered-by header saying express, both indicating it uses NodeJS/Express
05:00 - Explaining why I'm trying these injections
07:00 - Bypassing login with mongodb injection by setting both username and password to not equals instead of equals
09:10 - Playing with the e-commerce store and seeing it gives us a PDF
10:45 - Using exiftool to see how the PDF was generated
12:05 - Inserting an HTML IFRAME when we purchase an item to see if the PDF Generated will include local files
17:00 - Extracting /var/www/dev/index.js and getting the mongodb password which lets us log into the server
19:50 - The order numbers don't appear to be that random, looking at the source code to identify how this is generated. It's just mongo's object ID which is heavily based upon time stamps
26:00 - Looking at sudo, we can perform a directory traversal to execute run any .js file as root
27:50 - Showing that you can now put regex in the Sudoers file which would fix this exploit
https://www.youtube.com/watch?v=fWMHh8GYqJE
#htb
#hacking
HackTheBox - Stocker
00:00 - Introduction
00:56 - Start of nmap
02:15 - Running Gobuster in VHOST Detection mode to find the dev subdomain
03:50 - Intercepting a request to dev.stocker.htb and seeing an connect.sid cookie and x-powered-by header saying express, both indicating it uses NodeJS/Express
05:00 - Explaining why I'm trying these injections
07:00 - Bypassing login with mongodb injection by setting both username and password to not equals instead of equals
09:10 - Playing with the e-commerce store and seeing it gives us a PDF
10:45 - Using exiftool to see how the PDF was generated
12:05 - Inserting an HTML IFRAME when we purchase an item to see if the PDF Generated will include local files
17:00 - Extracting /var/www/dev/index.js and getting the mongodb password which lets us log into the server
19:50 - The order numbers don't appear to be that random, looking at the source code to identify how this is generated. It's just mongo's object ID which is heavily based upon time stamps
26:00 - Looking at sudo, we can perform a directory traversal to execute run any .js file as root
27:50 - Showing that you can now put regex in the Sudoers file which would fix this exploit
https://www.youtube.com/watch?v=fWMHh8GYqJE
YouTube
HackTheBox - Stocker
00:00 - Introduction
00:56 - Start of nmap
02:15 - Running Gobuster in VHOST Detection mode to find the dev subdomain
03:50 - Intercepting a request to dev.stocker.htb and seeing an connect.sid cookie and x-powered-by header saying express, both indicating…
00:56 - Start of nmap
02:15 - Running Gobuster in VHOST Detection mode to find the dev subdomain
03:50 - Intercepting a request to dev.stocker.htb and seeing an connect.sid cookie and x-powered-by header saying express, both indicating…
#news
Атака NoFilter помогает повысить привилегии в Windows
Специалист компании Deep Instinct Рон Бен Ицхак (Ron Ben Yizhak) представил на конференции Defcon новую атаку NoFilter, которая опирается на Windows Filtering Platform (WFP) для повышения привилегий в Windows.
Источник: https://xakep.ru/2023/08/18/nofilter/
Атака NoFilter помогает повысить привилегии в Windows
Специалист компании Deep Instinct Рон Бен Ицхак (Ron Ben Yizhak) представил на конференции Defcon новую атаку NoFilter, которая опирается на Windows Filtering Platform (WFP) для повышения привилегий в Windows.
Источник: https://xakep.ru/2023/08/18/nofilter/
XAKEP
Атака NoFilter помогает повысить привилегии в Windows
Специалист компании Deep Instinct Рон Бен Ицхак (Ron Ben Yizhak) представил на конференции Defcon новую атаку NoFilter, которая опирается на Windows Filtering Platform (WFP) для повышения привилегий в Windows.
#news
Уязвимость в WinRAR позволяла выполнять команды при открытии архива
В WinRAR исправлена серьезная уязвимость, которая позволяла добиться выполнения произвольного кода в целевой системе. Для эксплуатации проблемы достаточно было вынудить жертву открыть архив RAR.
Источник: https://xakep.ru/2023/08/21/winrar-cve/
Уязвимость в WinRAR позволяла выполнять команды при открытии архива
В WinRAR исправлена серьезная уязвимость, которая позволяла добиться выполнения произвольного кода в целевой системе. Для эксплуатации проблемы достаточно было вынудить жертву открыть архив RAR.
Источник: https://xakep.ru/2023/08/21/winrar-cve/
XAKEP
Уязвимость в WinRAR позволяла выполнять команды при открытии архива
В WinRAR исправлена серьезная уязвимость, которая позволяла добиться выполнения произвольного кода в целевой системе. Для эксплуатации проблемы достаточно было вынудить жертву открыть архив RAR.
#books
#python
#security
Название: «Безопасность веб-приложений на Python. Криптография, TLS и устойчивость к атакам.»
Автор: Деннис Бирн
Год: 2023
В этой книге подробно рассказывается о нюансах написания безопасного кода на Python. В первой части излагаются основы криптографии: рассмотрены базовые понятия, проверка подлинности данных, симметричное и асимметричное шифрование. Вторая часть содержит пошаговые инструкции для воплощения типичных сценариев взаимодействия пользователя с приложением. В третьей части показано, как противостоять атакам разного рода.
Все примеры кода воспроизводят реальные задачи, стоящие перед разработчиками. Книга будет полезна как начинающим программистам, так и профессионалам, заинтересованным в повышении безопасности сервисов, которые они поддерживают.
Скачать.
#python
#security
Название: «Безопасность веб-приложений на Python. Криптография, TLS и устойчивость к атакам.»
Автор: Деннис Бирн
Год: 2023
В этой книге подробно рассказывается о нюансах написания безопасного кода на Python. В первой части излагаются основы криптографии: рассмотрены базовые понятия, проверка подлинности данных, симметричное и асимметричное шифрование. Вторая часть содержит пошаговые инструкции для воплощения типичных сценариев взаимодействия пользователя с приложением. В третьей части показано, как противостоять атакам разного рода.
Все примеры кода воспроизводят реальные задачи, стоящие перед разработчиками. Книга будет полезна как начинающим программистам, так и профессионалам, заинтересованным в повышении безопасности сервисов, которые они поддерживают.
Скачать.
#news
Google Chrome предупредит пользователей об удалении вредоносных расширений
Компания Google сообщает, что в браузере Chrome скоро появится новая функция, которая будет предупреждать пользователей об удалении установленных ими расширений из Chrome Web Store, что обычно происходит с вредоносным ПО.
Источник: https://xakep.ru/2023/08/21/extensions-warning/
Google Chrome предупредит пользователей об удалении вредоносных расширений
Компания Google сообщает, что в браузере Chrome скоро появится новая функция, которая будет предупреждать пользователей об удалении установленных ими расширений из Chrome Web Store, что обычно происходит с вредоносным ПО.
Источник: https://xakep.ru/2023/08/21/extensions-warning/
XAKEP
Google Chrome предупредит пользователей об удалении вредоносных расширений
Компания Google сообщает, что в браузере Chrome скоро появится новая функция, которая будет предупреждать пользователей об удалении установленных ими расширений из Chrome Web Store, что обычно происходит с вредоносным ПО.
#bug_bounty
#rce
Analysis CVE-2023-29300: Adobe ColdFusion Pre-Auth RCE
https://blog.projectdiscovery.io/adobe-coldfusion-rce/
#rce
Analysis CVE-2023-29300: Adobe ColdFusion Pre-Auth RCE
https://blog.projectdiscovery.io/adobe-coldfusion-rce/
ProjectDiscovery
Adobe ColdFusion Pre-Auth RCE(s) — ProjectDiscovery Blog
For the latest updates on CVE-2023-29300 / CVE-2023-38203 / CVE-2023-38204, see the updates section
Introduction
The Adobe ColdFusion, widely recognized for its robust web development capabilities, recently released a critical security update. The update…
Introduction
The Adobe ColdFusion, widely recognized for its robust web development capabilities, recently released a critical security update. The update…
#bug_bounty
#burpsuite
Burp Suite roadmap update: July 2023
https://portswigger.net/blog/burp-suite-roadmap-update-july-2023
#burpsuite
Burp Suite roadmap update: July 2023
https://portswigger.net/blog/burp-suite-roadmap-update-july-2023
PortSwigger Blog
Burp Suite roadmap update: July 2023
Check out our roadmap for Burp Suite and find out what exciting features are coming your way over the next 12 months. Burp Suite Professional Added to the roadmap Added BChecks - testing tool - When c
#news
Хакеры используют сертификат VPN-провайдера для подписания малвари
ИБ-специалисты сообщают, что китайская хак-группа Bronze Starlight атакует индустрию азартных игр в странах Юго-Восточной Азии с помощью малвари, подписанной с использованием действительного сертификата VPN-провайдера Ivacy.
Источник: https://xakep.ru/2023/08/22/ivacy-certificate/
Хакеры используют сертификат VPN-провайдера для подписания малвари
ИБ-специалисты сообщают, что китайская хак-группа Bronze Starlight атакует индустрию азартных игр в странах Юго-Восточной Азии с помощью малвари, подписанной с использованием действительного сертификата VPN-провайдера Ivacy.
Источник: https://xakep.ru/2023/08/22/ivacy-certificate/
XAKEP
Хакеры используют сертификат VPN-провайдера для подписания малвари
ИБ-специалисты сообщают, что китайская хак-группа Bronze Starlight атакует индустрию азартных игр в странах Юго-Восточной Азии с помощью малвари, подписанной с использованием действительного сертификата VPN-провайдера Ivacy.
#bug_bounty
Improve your API Security Testing with Burp BCheck Scripts
https://danaepp.com/improve-your-api-security-testing-with-burp-bcheck-scripts
Improve your API Security Testing with Burp BCheck Scripts
https://danaepp.com/improve-your-api-security-testing-with-burp-bcheck-scripts
Dana Epp's Blog
Improve your API Security Testing with Burp BCheck Scripts
Learn how to write your own Burp BCheck scripts to tap into the web vulnerability scanner to automate your API security testing.
#bug_bounty
#bug_hunting
#11 Bug Bounty. Написание хорошего отчета. Часть 4.
Здравствуйте, дорогие друзья.
Работа багхантера заключается не только в поиске уязвимостей; но, также, происходит в объяснении их службе безопасности организации. Если Вы предоставите хорошо написанный отчет, Вы поможете команде, с которой Вы работаете, воспроизвести эксплойт, назначить его соответствующую внутреннюю команду инженеров и решить проблему быстрее. Чем быстрее уязвимость будет устранена, тем меньше вероятность того, что злоумышленники воспользуются ею.
Более подробнее в видео. Приятного просмотра!
https://youtu.be/PdK17hCov7k
#bug_hunting
#11 Bug Bounty. Написание хорошего отчета. Часть 4.
Здравствуйте, дорогие друзья.
Работа багхантера заключается не только в поиске уязвимостей; но, также, происходит в объяснении их службе безопасности организации. Если Вы предоставите хорошо написанный отчет, Вы поможете команде, с которой Вы работаете, воспроизвести эксплойт, назначить его соответствующую внутреннюю команду инженеров и решить проблему быстрее. Чем быстрее уязвимость будет устранена, тем меньше вероятность того, что злоумышленники воспользуются ею.
Более подробнее в видео. Приятного просмотра!
https://youtu.be/PdK17hCov7k
YouTube
#11 Bug Bounty. Написание хорошего отчета. Часть 4.
#11 Bug Bounty. Написание хорошего отчета. Часть 4.
Здравствуйте, дорогие друзья.
Работа багхантера заключается не только в поиске уязвимостей; но, также, происходит в объяснении их службе безопасности организации. Если Вы предоставите хорошо написанный…
Здравствуйте, дорогие друзья.
Работа багхантера заключается не только в поиске уязвимостей; но, также, происходит в объяснении их службе безопасности организации. Если Вы предоставите хорошо написанный…
Здравствуйте, дорогие друзья.
Внимание, акция!!! Продлится 3 дня, с 24-го августа, и до 26-го августа включительно.
Временная скидка 28% на книгу: «Пост-эксплуатация веб-сервера.»
В этой книге рассматривается одно из самых интересных действий, после взлома или компрометации сервера.
Объем: 90 страниц.
Цена: 510 рублей.
В этой фазе злоумышленник уже получил доступ к серверу и его целью является сохранение этого доступа и дальнейшее использование его для своих целей.
Для приобретения пишите по контакту: @timcore1
Внимание, акция!!! Продлится 3 дня, с 24-го августа, и до 26-го августа включительно.
Временная скидка 28% на книгу: «Пост-эксплуатация веб-сервера.»
В этой книге рассматривается одно из самых интересных действий, после взлома или компрометации сервера.
Объем: 90 страниц.
Цена: 510 рублей.
В этой фазе злоумышленник уже получил доступ к серверу и его целью является сохранение этого доступа и дальнейшее использование его для своих целей.
Для приобретения пишите по контакту: @timcore1
#books
#docker
Название: Docker Compose для разработчика. Упростите разработку и оркестрацию многоконтейнерных приложений.
Автор: Эммануил Гадзурас
Год: 2023
Разработка программного обеспечения становится все сложнее из-за использования различных инструментов.Приложения приходится упаковывать вместе с программными компонентами, чтобы упростить их работу, но это усложняет их запуск.С помощью Docker Compose можно всего одной командой настроить приложение и необходимые зависимости.
Вы познакомитесь с основами томов и сетей Docker,с командами Compose,их назначением и вариантами использования.Настроите базу данных для повседневной работы, доступную через сеть Docker, установите связь между микросервисами. Научитесь с помощью Docker Compose запускать целые стеки локально, моделировать промышленные окружения и расширять задания CI/CD. Кроме
того, узнаете, как извлечь выгоду из Docker Compose при создании развертываний в промышленных окружениях, а также подготовите инфраструктуру в общедоступных облаках.
Скачать.
#docker
Название: Docker Compose для разработчика. Упростите разработку и оркестрацию многоконтейнерных приложений.
Автор: Эммануил Гадзурас
Год: 2023
Разработка программного обеспечения становится все сложнее из-за использования различных инструментов.Приложения приходится упаковывать вместе с программными компонентами, чтобы упростить их работу, но это усложняет их запуск.С помощью Docker Compose можно всего одной командой настроить приложение и необходимые зависимости.
Вы познакомитесь с основами томов и сетей Docker,с командами Compose,их назначением и вариантами использования.Настроите базу данных для повседневной работы, доступную через сеть Docker, установите связь между микросервисами. Научитесь с помощью Docker Compose запускать целые стеки локально, моделировать промышленные окружения и расширять задания CI/CD. Кроме
того, узнаете, как извлечь выгоду из Docker Compose при создании развертываний в промышленных окружениях, а также подготовите инфраструктуру в общедоступных облаках.
Скачать.