#bug_bounty
#bug_hunting

#14 Bug Bounty. Как работает интернет. Часть 2. Система доменных имен. Интернет-порты.

Здравствуйте, дорогие друзья.

Откуда Ваш браузер и другие веб-клиенты узнают, где найти эти ресурсы? (смотрите предыдущую статью). Что ж, каждое устройство, подключенное к Интернету, имеет уникальный адрес Интернет-протокола (IP), который другие устройства могут использовать для его поиска. Однако IP-адреса состоят из цифр и букв, которые человеку трудно запомнить. Например, старый формат IP-адресов IPv4 выглядит так: 123.45.67.89. Новая версия IPv6 выглядит еще сложнее: 2001:db8::ff00:42:8329.

Подробнее: https://timcore.ru/2023/08/30/14-bug-bounty-kak-rabotaet-internet-chast-2-sistema-domennyh-imen-internet-porty/

#bug_bounty
#bug_hunting

#15 Bug Bounty. Как работает интернет. Часть 3. HTTP-запросы и ответы.

Здравствуйте. дорогие друзья.

После установления соединения браузер и сервер взаимодействуют через протокол передачи гипертекста (HTTP). HTTP — это набор правил, определяющих, как структурировать и интерпретировать интернет-сообщения, а также как веб-клиенты и веб-серверы должны обмениваться информацией.

Подробнее: https://timcore.ru/2023/08/30/15-bug-bounty-kak-rabotaet-internet-chast-3-http-zaprosy-i-otvety/

#news

Малварь KmsdBot научилась атаковать IoT-устройства

Эксперты предупредили, что обновленная версия ботнета KmsdBot теперь атакует устройства интернета вещей (IoT), расширяя свои возможности и поверхность атак.

Источник: https://xakep.ru/2023/08/29/kmsdbot-vs-iot/

#bug_bounty
#bug_hunting

#16 Bug Bounty. Элементы управления интернет-безопасностью. Кодировка контента.

Здравствуйте, дорогие друзья.

Теперь, когда у Вас есть общее представление о том, как информация передается через Интернет, давайте углубимся в некоторые фундаментальные меры безопасности, которые защищают ее от злоумышленников. Чтобы эффективно искать ошибки, Вам часто придется придумывать творческие способы обойти эти элементы управления, поэтому сначала Вам нужно понять, как они работают.

Подробнее: https://timcore.ru/2023/08/31/16-bug-bounty-jelementy-upravlenija-internet-bezopasnostju-kodirovka-kontenta/

#bug_bounty
#rce

RCE in PaperCut MF/NG via CSRF

https://fluidattacks.com/blog/rce-in-papercut-mf-ng-via-csrf/

#news

В магазине Google Play нашли вредоносные версии Signal и Telegram

Компания ESET сообщает, что в Google Play Store и Samsung Galaxy Store проникли зараженные троянами клоны приложений Signal и Telegram. Фальшивки содержали шпионское ПО BadBazaar и распространялись китайской хак-группой GREF.

Источник: https://xakep.ru/2023/08/31/badbazaar/

#books

Название: «Алгоритмы на практике. Решение реальных задач.»
Автор: Даниэль Зингаро
Год: 2023

«Алгоритмы на практике» научат решать самые трудные и интересные программистские задачи, а также разрабатывать собственные алгоритмы. В качестве примеров для обучения взяты реальные задания с международных соревнований по программированию. Вы узнаете, как классифицировать задачи, правильно подбирать структуру данных и выбирать алгоритм для решения. Поймете, что выбор структуры данных — будь то хеш-таблица, куча или дерево — влияет на скорость выполнения программы и на эффективность алгоритма. Разберетесь, как применять рекурсию, динамическое программирование, двоичный поиск.
Никакого условного псевдокода, все примеры сопровождаются исходным кодом на языке Си с подробными объяснениями.

Скачать.

#books

Название: «Грокаем функциональное мышление.»
Автор: Норманд Эрик
Год: 2023

Кодовые базы разрастаются, становясь все сложнее и запутаннее, что не может не пугать разработчиков. Как обнаружить код, изменяющий состояние вашей системы? Как сделать код таким, чтобы он не увеличивал сложность и запутанность кодовой базы?
Большую часть «действий», изменяющих состояние, можно превратить в «вычисления», чтобы ваш код стал проще и логичнее.
Вы научитесь бороться со сложными ошибками синхронизации, которые неизбежно проникают в асинхронный и многопоточный код, узнаете, как компонуемые абстракции предотвращают дублирование кода, и откроете для себя новые уровни его выразительности.

Книга предназначена для разработчиков среднего и высокого уровня, создающих сложный код.

Примеры, иллюстрации, вопросы для самопроверки и практические задания помогут надежно закрепить новые знания.

Скачать.

Здравствуйте, дорогие друзья.
Внимание, акция!!! Продлится 5 дней, со 1-го сентября, до 5-го сентября включительно.
Комплект из 4-х книг за 1770 рублей.

Две книги по цене одной:

1. «Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей.»
В книге:

- Разбор и эксплуатация каждой уязвимости пошагово и максимально подробно, со цветными иллюстрациями
- По каждой уязвимости даны рекомендации по защите

Подробнее по ссылке: https://vk.com/uslugi-44038255?screen=group&w=product-44038255_8337216%2Fquery

2. «Уязвимости DVWA. Полное прохождение».
В книге:

- Исчерпывающее описание всех заложенных в приложение уязвимостей, на всех уровнях сложности,
включая: «low»,«medium»,«high».

Подробнее по ссылке:https://vk.com/uslugi-44038255?screen=group&w=product-44038255_7367979%2Fquery

Плюс 2 бонусные книги:
1.«Уязвимость SQL-инъекция. Практическое руководство для хакеров.»
2.«Уязвимость Cross-Site Scripting XSS. Практическое руководство для хакеров.»

Цена: 1770 рублей.

Для приобретения пишите: @timcore1

#news

MEGANews. Самые важные события в мире инфосека за август

В этом месяце: вышла новая версия Kali Linux, утекли данные пользователей «ЛитРес» и Duolingo, файлообменник Anonfiles закрылся из‑за постоянных злоупотреблений, ученые создали сразу три side-channel-атаки на современные процессоры, исследователи джейлбрейкнули Tesla и разблокировали платные функции, а также другие интересные события последнего месяца лета.

Источник: https://xakep.ru/2023/08/31/meganews-293/

#bug_bounty
#bug_hunting

#17 Bug Bounty. Аутентификация на основе токенов. Веб-токены JSON.

Здравствуйте, дорогие друзья.

При аутентификации на основе сеанса сервер хранит Вашу информацию и использует соответствующий идентификатор сеанса для проверки Вашей личности, тогда как система аутентификации на основе токенов хранит эту информацию непосредственно в каком-то токене. Вместо того, чтобы хранить Вашу информацию на стороне сервера и запрашивать ее с использованием идентификатора сеанса, токены позволяют серверам определять Вашу личность путем декодирования самого токена. Таким образом, приложениям не придется хранить и поддерживать информацию о сеансе на стороне сервера.

Подробнее: https://timcore.ru/2023/09/01/17-bug-bounty-autentifikacija-na-osnove-tokenov-veb-tokeny-json/

#hackthebox
#hacking
#htb

HackTheBox - Busqueda

00:00 - Introduction
01:00 - Start of the nmap
04:20 - Copying the request in burpsuite to a file so we can use FFUF to fuzz
06:00 - Just testing for SSTI
06:45 - Found two bad characters, putting a comment after a bad character to see where it is failing
08:20 - Discovering we can append to the string, then trying for executing code with print to test for eval statements
10:00 - Getting a reverse shell
15:00 - Reverse shell returned
17:00 - Looking at apache virtualhosts to discover a hidden vhost that is running gitea
19:00 - Finding creds in the .git folder which lets us run sudo
22:00 - Inspecting the docker containers to discover passwords in environment variables which lets us log into gitea as administrator and view the script we are running as sudo
25:30 - Discovering the system-checkup.py script is not using an absolute path, so we can execute a shell script in our CWD as root


https://www.youtube.com/watch?v=5dHgfviJWmg

#bug_bounty
#bug_hunting

#18 Bug Bounty. Установка и перехват трафика.

Здравствуйте, дорогие друзья.

Вы сэкономите много времени и головной боли, если будете искать ошибки в своей лаборатории. В этом разделе я буду вести Вас шаг за шагом, путем настройки Вашей хакерской среды.

Вы настроите свой браузер для работы с Burp Suite, веб-прокси, который позволяет просматривать и изменять HTTP-запросы и ответы, отправляемые между Вашим браузером и веб-серверами.

Подробнее: https://timcore.ru/2023/09/03/18-bug-bounty-ustanovka-i-perehvat-trafika/

#csharp
#programming

C# От новичка к профессионалу. Часть 8.

71. Что такое Nullable | Null совместимые значимые типы Nullable | # 52
72. var c# что это | VAR ЭТО НЕ ТИП ДАННЫХ | неявно типизированные переменные c# | C# Урок #53
73. enum c# ЧТО ЭТО И ДЛЯ ЧЕГО НУЖНО | перечисления enum c# | # 54
74. Что такое класс | ООП C# | Что такое объект класса | Экземпляр класса | C# Уроки | # 55
75. С# методы и классы | ООП C# и вызов метода объекта класса | # 56
76. Модификаторы доступа C# | РАЗНИЦА МЕЖДУ public и private в C# | ООП C# | C# УРОК | # 57
77. ИНКАПСУЛЯЦИЯ C# | примеры инкапсуляции с объяснением | # 58
78. Что такое конструктор класса c# | для чего он нужен | конструктор по умолчанию си шарп | Урок # 59
79. Перегрузка конструкторов класса в C# | Что такое перегрузка | # 60
80. Ключевое слово this c# | ООП C# | С# this в конструкторе | # 61

https://vk.com/school_timcore?w=wall-80056907_1980

#csharp
#programming

C# От новичка к профессионалу. Часть 9.

81. C# свойства get set | ключевое слово value | автоматические свойства c# | ООП C# Урок | # 62
82. C# статические поля класса | как работает ключевое слово static | C# ОТ НОВИЧКА К ПРОФЕССИОНАЛУ # 63
83. Статические методы C# | Статические свойства C# | как работает ключевое слово static | C# ООП | # 64
84. Статический конструктор класса c# | как работает ключевое слово static | C# ООП | # 65
85. Статический класс c# | как работает ключевое слово static | C# ОТ НОВИЧКА К ПРОФЕССИОНАЛУ | # 66
86. Методы расширения c# | extension методы c# | C# ОТ НОВИЧКА К ПРОФЕССИОНАЛУ | # 67
87. partial класс c# | частичные типы c# | partial методы c# | C# ОТ НОВИЧКА К ПРОФЕССИОНАЛУ | # 68
88. const vs readonly | c# разница между const и readonly | const и static | C# ООП | # 69
89. Синтаксис инициализации объектов класса | ООП C# | C# ОТ НОВИЧКА К ПРОФЕССИОНАЛУ | # 70
90. Наследование в C# | Что такое наследование в ооп | C# ОТ НОВИЧКА К ПРОФЕССИОНАЛУ | # 71

https://vk.com/school_timcore?w=wall-80056907_1981

#csharp
#programming

C# От новичка к профессионалу. Часть 10.

91. Ключевое слово base в C# | наследование и конструктор класса | # 72
92. Операторы as is c# | наследование и приведение типов в C# | # 73
93. Наследование в C# и модификаторы доступа | модификатор protected c# | C# ООП | # 74
94. Лучшие книги по C# для начинающих и не только | Как выучить C#
95. Полиморфизм | виртуальные методы c# | virtual override c# | # 75
96. Абстрактные классы | зачем нужны абстрактные методы | abstract c# | полиморфизм | C# ООП | # 76
97. Интерфейсы в C# зачем нужны и как используются | # 77
98. Наследование интерфейсов C# | множественное наследование интерфейсов | C# ООП | # 78
99. Интерфейсы в C# | ЯВНАЯ РЕАЛИЗАЦИЯ интерфейса C# | # 79
100. Реализация интерфейса по умолчанию в C# 8.0 | # 80

https://vk.com/school_timcore?w=wall-80056907_1982

#csharp
#programming

C# От новичка к профессионалу. Часть 11.

101. Структуры в C# | структуры и классы отличия | struct vs class | # 81
102. Упаковка и распаковка значимых типов c# | boxing and unboxing | # 82
103. Обобщения в C# | C# generics | generic типы методы и классы | # 83
104. Обобщения в C# | производительность | коллекции | list vs arraylist | C# ООП | # 84

https://vk.com/school_timcore?w=wall-80056907_1983

Менторство по Этичному хакингу

Занимаюсь обучением учеников более 3-х лет, и знаю пробелы по разному уровню знаний, поэтому взаимодействие со мной будет продуктивным.

В сфере Этичного хакинга с начала 2017 года, уже 7-й год.

Я не ставлю своей целью обучать как можно больше учащихся (групповые занятия/потоки и т.д.), предполагая индивидуальный подход к каждому.

Что я делаю, при оказании данной услуги:

- Составляю программу обучения, опираясь на исходные данные по текущему уровню знаний.

- Буду давать методички в формате PDF, записываю видео (если что-то не понятно).

- Как правило, сначала нужно будет пройти курс по базовым основам, чтобы переходить дальше (данный курс уже включен в программу. По опыту, и при хорошей подготовке ученика, сразу приступаю к составлению программы).

- Формат: дистанционно. Я на связи с понедельника по пятницу, с 12:00 до 17:00 по мск. Суббота и воскресенье выходные.

- Стоимость: 30 000 рублей. Возможна рассрочка на 3 месяца по 10 000 рублей.

- Срок обучения: все индивидуально. Минимум 3 месяца, и все зависит от усваивания материала.

Хотелось бы уточнить, что я не даю волшебную таблетку, после которой Вы будете знать все, потому что предполагается обоюдная продуктивная работа. Это как мой, так и Ваш труд, и если Вы заинтересованы,
то Ваш путь будет быстрым и безболезненным, чтобы поменять мышление, да и еще хорошо зарабатывать.

Отзывы об обучении можно найти вот тут: https://vk.com/topic-44038255_49120521

Если Вас заинтересовало мое предложение, то пишите в ЛС: @timcore1, либо сообщения паблика.

Ссылка на услугу: https://vk.com/hacker_timcore?w=product-44038255_5263845