#bug_bounty
#cve
#rce
RCE in Progress WS_FTP Ad Hoc via IIS HTTP Modules (CVE-2023-40044)
https://www.assetnote.io/resources/research/rce-in-progress-ws-ftp-ad-hoc-via-iis-http-modules-cve-2023-40044
#cve
#rce
RCE in Progress WS_FTP Ad Hoc via IIS HTTP Modules (CVE-2023-40044)
https://www.assetnote.io/resources/research/rce-in-progress-ws-ftp-ad-hoc-via-iis-http-modules-cve-2023-40044
www.assetnote.io
RCE in Progress WS_FTP Ad Hoc via IIS HTTP Modules (CVE-2023-40044)
Over the last year or so, we've seen the mass exploitation of managed file transfer software. From GoAnywhere MFT, MOVEIt, and our own work on Citrix Sharefile. The threats towards enterprises through managed file transfer software has really hit home after…
#csharp
#gray_hat
#programming
#30 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Класс NessusSession.
Здравствуйте, дорогие друзья.
Чтобы автоматизировать отправку команд и получение ответов от Nessus, мы создадим сеанс с классом NessusSession и выполним команды API.
Подробнее: https://timcore.ru/2023/10/12/30-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-klass-nessussession/
#gray_hat
#programming
#30 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Класс NessusSession.
Здравствуйте, дорогие друзья.
Чтобы автоматизировать отправку команд и получение ответов от Nessus, мы создадим сеанс с классом NessusSession и выполним команды API.
Подробнее: https://timcore.ru/2023/10/12/30-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-klass-nessussession/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#30 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Класс NessusSession. - Этичный хакинг…
Чтобы автоматизировать отправку команд и получение ответов от Nessus, мы создадим сеанс с классом NessusSession и выполним команды API.
#bug_bounty
#cve
GitHub - ErikWynter/CVE-2023-22515-Scan: Scanner for CVE-2023-22515 - Broken Access Control Vulnerability in Atlassian Confluence
https://github.com/ErikWynter/CVE-2023-22515-Scan
#cve
GitHub - ErikWynter/CVE-2023-22515-Scan: Scanner for CVE-2023-22515 - Broken Access Control Vulnerability in Atlassian Confluence
https://github.com/ErikWynter/CVE-2023-22515-Scan
GitHub
GitHub - ErikWynter/CVE-2023-22515-Scan: Scanner for CVE-2023-22515 - Broken Access Control Vulnerability in Atlassian Confluence
Scanner for CVE-2023-22515 - Broken Access Control Vulnerability in Atlassian Confluence - ErikWynter/CVE-2023-22515-Scan
Новая партия книг для изучения. Книга Евгения Зобнина 1-е издание у меня есть. Достаточно интересная информация по андройду.
Что касается второй книги, то это также вторая книга, которую я буду читать у Дмитрия Артимовича. Первая книга автобиографическая, которая называется: "Я хакер! Хроника потерянного поколения." А всего у него 3 книги. Надо приобрести первую хронологическую книгу по платежным системам.
Что касается второй книги, то это также вторая книга, которую я буду читать у Дмитрия Артимовича. Первая книга автобиографическая, которая называется: "Я хакер! Хроника потерянного поколения." А всего у него 3 книги. Надо приобрести первую хронологическую книгу по платежным системам.
#books
Название: Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности
Автор: Роджер Граймс
Год: 2023
Кибербезопасностью сегодня озабочены все, от рядовых пользователей Сети до владельцев крупных корпораций и государственных служащих. Но мало кто из них на самом деле знает, как функционирует мир хакерских атак и сетевых взломов изнутри.
Эта книга — ваш проводник в сферу информационной безопасности. Благодаря ей вы узнаете:
• что такое DDoS-атаки и как защититься от них;
• как работает социальная инженерия и почему на нее так легко повестись;
• от чего защищают брандмауэры и зачем они нужны;
• почему не все антивирусные программы одинаково полезны;
• как избавиться от уязвимостей программного обеспечения.
Скачать.
Название: Как противостоять хакерским атакам. Уроки экспертов по информационной безопасности
Автор: Роджер Граймс
Год: 2023
Кибербезопасностью сегодня озабочены все, от рядовых пользователей Сети до владельцев крупных корпораций и государственных служащих. Но мало кто из них на самом деле знает, как функционирует мир хакерских атак и сетевых взломов изнутри.
Эта книга — ваш проводник в сферу информационной безопасности. Благодаря ей вы узнаете:
• что такое DDoS-атаки и как защититься от них;
• как работает социальная инженерия и почему на нее так легко повестись;
• от чего защищают брандмауэры и зачем они нужны;
• почему не все антивирусные программы одинаково полезны;
• как избавиться от уязвимостей программного обеспечения.
Скачать.
#csharp
#gray_hat
#nessus
#31 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматизация Nessus. Класс NessusManager.
Здравствуйте, дорогие друзья.
В листинге ниже показаны методы, которые нам необходимо реализовать в классе NessusManager, который обернет общие вызовы API и функциональные возможности Nessus в простые в использовании методы, которые мы сможем вызвать позже.
Подробнее: https://timcore.ru/2023/10/16/31-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-avtomatizacija-nessus-klass-nessusmanager/
#gray_hat
#nessus
#31 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматизация Nessus. Класс NessusManager.
Здравствуйте, дорогие друзья.
В листинге ниже показаны методы, которые нам необходимо реализовать в классе NessusManager, который обернет общие вызовы API и функциональные возможности Nessus в простые в использовании методы, которые мы сможем вызвать позже.
Подробнее: https://timcore.ru/2023/10/16/31-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-avtomatizacija-nessus-klass-nessusmanager/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#31 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматизация Nessus. Класс NessusManager.…
В листинге ниже показаны методы, которые нам необходимо реализовать в классе NessusManager, который обернет общие вызовы API и функциональные возможности Nessus в простые в использовании методы, которые мы сможем вызвать позже.
#cshar
#gray_hat
#nessus
#32 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматизация Nessus. Выполнение сканирования Nessus.
Здравствуйте, дорогие друзья.
В листинге ниже показано, как начать использовать NessusSession и NessusManager для запуска сканирования и печати результатов.
Мы начинаем нашу автоматизацию с отключения проверки сертификата SSL (поскольку ключи SSL сервера Nessus являются самозаверяющими, они не пройдут проверку), назначая анонимный метод, который возвращает true только для ServerCertificateValidationCallback [1]. Этот обратный вызов используется сетевыми библиотеками HTTP для проверки сертификата SSL. Простое возвращение true приводит к принятию любого сертификата SSL.
Подробнее: https://timcore.ru/2023/10/16/32-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-avtomatizacija-nessus-vypolnenie-skanirovanija-nessus/
#gray_hat
#nessus
#32 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматизация Nessus. Выполнение сканирования Nessus.
Здравствуйте, дорогие друзья.
В листинге ниже показано, как начать использовать NessusSession и NessusManager для запуска сканирования и печати результатов.
Мы начинаем нашу автоматизацию с отключения проверки сертификата SSL (поскольку ключи SSL сервера Nessus являются самозаверяющими, они не пройдут проверку), назначая анонимный метод, который возвращает true только для ServerCertificateValidationCallback [1]. Этот обратный вызов используется сетевыми библиотеками HTTP для проверки сертификата SSL. Простое возвращение true приводит к принятию любого сертификата SSL.
Подробнее: https://timcore.ru/2023/10/16/32-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-avtomatizacija-nessus-vypolnenie-skanirovanija-nessus/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#32 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматизация Nessus. Выполнение…
В листинге ниже показано, как начать использовать NessusSession и NessusManager для запуска сканирования и печати результатов.
#news
DarkGate распространяется через взломанные аккаунты Skype и Microsoft Teams
Исследователи компании Trend Micro обнаружили, что с июля по сентябрь 2023 года малварь DarkGate распространялась при помощи скомпрометированных учетных записей Skype и Microsoft Teams. Большинство атак было обнаружено в Северной и Южной Америке, странах Азии, на Ближнем Востоке и в Африке.
Источник: https://xakep.ru/2023/10/16/darkgate-skype/
DarkGate распространяется через взломанные аккаунты Skype и Microsoft Teams
Исследователи компании Trend Micro обнаружили, что с июля по сентябрь 2023 года малварь DarkGate распространялась при помощи скомпрометированных учетных записей Skype и Microsoft Teams. Большинство атак было обнаружено в Северной и Южной Америке, странах Азии, на Ближнем Востоке и в Африке.
Источник: https://xakep.ru/2023/10/16/darkgate-skype/
XAKEP
DarkGate распространяется через взломанные аккаунты Skype и Microsoft Teams
Исследователи компании Trend Micro обнаружили, что с июля по сентябрь 2023 года малварь DarkGate распространялась при помощи скомпрометированных учетных записей Skype и Microsoft Teams. Большинство атак было обнаружено в Северной и Южной Америке, странах…
#news
У облачного игрового сервиса Shadow украли данные 530 000 человек
Компания Shadow, которая владеет облачным игровым сервисом, сообщила, что хакеры применили социальную инженерию против одного из ее сотрудников и похитили базу данных, содержащую данные клиентов. Информация о 533 624 пользователях Shadow уже выставлена на продажу в даркнете.
Источник: https://xakep.ru/2023/10/16/shadow-leak/
У облачного игрового сервиса Shadow украли данные 530 000 человек
Компания Shadow, которая владеет облачным игровым сервисом, сообщила, что хакеры применили социальную инженерию против одного из ее сотрудников и похитили базу данных, содержащую данные клиентов. Информация о 533 624 пользователях Shadow уже выставлена на продажу в даркнете.
Источник: https://xakep.ru/2023/10/16/shadow-leak/
XAKEP
У облачного игрового сервиса Shadow украли данные 530 000 человек
Компания Shadow, которая владеет облачным игровым сервисом, сообщила, что хакеры применили социальную инженерию против одного из ее сотрудников и похитили базу данных, содержащую данные клиентов. Информация о 533 624 пользователях Shadow уже выставлена на…
Сделал разбор 11 уязвимостей, по категории OWASP Top-10, A5 - Security Misconfiguration.
Общая продолжительность: 56 минут.
Видеокурс пока в процессе создания, но Вы уже сейчас можете сделать предзаказ по цене: 3000 рублей. Итоговая версия будет дороже однозначно.
И для меня денежная мотивация будет, не без этого.
По вопросам приобретения пишите по контакту: @timcore1
Общая продолжительность: 56 минут.
Видеокурс пока в процессе создания, но Вы уже сейчас можете сделать предзаказ по цене: 3000 рублей. Итоговая версия будет дороже однозначно.
И для меня денежная мотивация будет, не без этого.
По вопросам приобретения пишите по контакту: @timcore1
#news
Тысячи устройств Cisco IOS XE взломаны с помощью 0-day уязвимости
Cisco предупреждает о критической уязвимости нулевого дня, затрагивающей IOS XE. Патчей для этой проблемы, получившей максимальную оценку по шкале CVSS (10 баллов из 10 возможных), пока нет, и ее уже активно эксплуатируют хакеры. По данным аналитиков VulnCheck, уже взломаны более 10 000 устройств.
Источник: https://xakep.ru/2023/10/18/ios-xe-0day/
Тысячи устройств Cisco IOS XE взломаны с помощью 0-day уязвимости
Cisco предупреждает о критической уязвимости нулевого дня, затрагивающей IOS XE. Патчей для этой проблемы, получившей максимальную оценку по шкале CVSS (10 баллов из 10 возможных), пока нет, и ее уже активно эксплуатируют хакеры. По данным аналитиков VulnCheck, уже взломаны более 10 000 устройств.
Источник: https://xakep.ru/2023/10/18/ios-xe-0day/
XAKEP
Тысячи устройств Cisco IOS XE взломаны с помощью 0-day уязвимости
Cisco предупреждает о критической уязвимости нулевого дня, затрагивающей IOS XE. Патчей для этой проблемы, получившей максимальную оценку по шкале CVSS (10 баллов из 10 возможных), пока нет, и ее уже активно эксплуатируют хакеры. По данным аналитиков VulnCheck…
#news
Обновленная версия малвари MATA атакует предприятия в Восточной Европе
Исследователи «Лаборатории Касперского» обнаружили масштабную вредоносную кампанию, в ходе которой были скомпрометированы десятки организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы. Злоумышленники проникали в изолированные сети с помощью USB-накопителей, а также использовали Linux-бэкдор MATA.
Источник: https://xakep.ru/2023/10/18/new-mata-attacks/
Обновленная версия малвари MATA атакует предприятия в Восточной Европе
Исследователи «Лаборатории Касперского» обнаружили масштабную вредоносную кампанию, в ходе которой были скомпрометированы десятки организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы. Злоумышленники проникали в изолированные сети с помощью USB-накопителей, а также использовали Linux-бэкдор MATA.
Источник: https://xakep.ru/2023/10/18/new-mata-attacks/
XAKEP
Обновленная версия малвари MATA атакует предприятия в Восточной Европе
Исследователи «Лаборатории Касперского» обнаружили масштабную вредоносную кампанию, в ходе которой были скомпрометированы десятки организаций в сфере оборонной промышленности и нефтегазового сектора стран Восточной Европы. Злоумышленники проникали в изолированные…
Сделал разбор 9-ти уязвимостей, по категории OWASP Top-10, А6 - Sensitive Data Exposure.
Общая продолжительность: 38 минут.
Видеокурс пока в процессе создания (записано уже 6 категорий, а именно А1, А2, А3, А4, А5, и А6), но Вы уже сейчас можете сделать предзаказ по цене: 3000 рублей. Итоговая версия будет дороже однозначно.
И для меня денежная мотивация будет, не без этого.
По вопросам приобретения пишите по контакту: @timcore1
Общая продолжительность: 38 минут.
Видеокурс пока в процессе создания (записано уже 6 категорий, а именно А1, А2, А3, А4, А5, и А6), но Вы уже сейчас можете сделать предзаказ по цене: 3000 рублей. Итоговая версия будет дороже однозначно.
И для меня денежная мотивация будет, не без этого.
По вопросам приобретения пишите по контакту: @timcore1
#bug_bounty
#rce
#cve
CVE-2023-42793 - JetBrains TeamCity RCE
https://blog.projectdiscovery.io/cve-2023-42793-vulnerability-in-jetbrains-teamcity/
#rce
#cve
CVE-2023-42793 - JetBrains TeamCity RCE
https://blog.projectdiscovery.io/cve-2023-42793-vulnerability-in-jetbrains-teamcity/
ProjectDiscovery Blog
JetBrains TeamCity RCE - CVE-2023-42793
A recently disclosed vulnerability in JetBrains can lead to Remote Code Execution. Are you up to date?
Авторский видеокурс: "Хакинг bWAPP (buggy web application). Эксплуатация 100+ уязвимостей."
- Разбор и эксплуатация каждой уязвимости пошагово и максимально подробно и наглядно в виде видеоуроков.
- По каждой уязвимости даны рекомендации по защите.
- Всего разобрал 103 уязвимости.
Надеюсь данный видеокурс послужит Вам отправной точкой в этичном хакинге, в частности, исследовании веб-приложений.
Общая продолжительность: 8 часов.
Видеоуроки состоят из 10 категорий:
Категория 1. А1 – Injection.
Категория 2. A2—Broken Auth. & Session Mgmt
Категория 3. A3 — Cross-Site Scripting (XSS)
Категория 4. A4 — Insecure Direct Object References (IDOR)
Категория 5. A5 — Security Misconfiguration
Категория 6. А6 — Sensitive Data Exposure
Категория 7. А7 — Missing Functional Level Access Control
Категория 8. А8 — Cross Site Request Forgery (CSRF).
Категория 9. А9 — Using Known Vulnerable Components
Категория 10. А10 — Unvalidated Redirects & Forwards
Стоимость: 5500 рублей.
Для приобретения пишите по контакту: @timcore1
- Разбор и эксплуатация каждой уязвимости пошагово и максимально подробно и наглядно в виде видеоуроков.
- По каждой уязвимости даны рекомендации по защите.
- Всего разобрал 103 уязвимости.
Надеюсь данный видеокурс послужит Вам отправной точкой в этичном хакинге, в частности, исследовании веб-приложений.
Общая продолжительность: 8 часов.
Видеоуроки состоят из 10 категорий:
Категория 1. А1 – Injection.
Категория 2. A2—Broken Auth. & Session Mgmt
Категория 3. A3 — Cross-Site Scripting (XSS)
Категория 4. A4 — Insecure Direct Object References (IDOR)
Категория 5. A5 — Security Misconfiguration
Категория 6. А6 — Sensitive Data Exposure
Категория 7. А7 — Missing Functional Level Access Control
Категория 8. А8 — Cross Site Request Forgery (CSRF).
Категория 9. А9 — Using Known Vulnerable Components
Категория 10. А10 — Unvalidated Redirects & Forwards
Стоимость: 5500 рублей.
Для приобретения пишите по контакту: @timcore1
#csharp
#gray_hat
#nexpose
#33 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматизация Nexpose. Установка Nexpose.
В этом разделе я покажу Вам, как использовать C# для автоматизации сканера уязвимостей Nexpose Rapid7, чтобы создать сайт Nexpose, просканировать этот сайт, создать отчет в формате PDF об уязвимостях сайта, а затем удалить сайт. Отчеты Nexpose невероятно гибки и мощны, позволяя автоматически создавать отчеты для самых разных аудиторий, от руководителей до технических администраторов.
Подробнее: https://timcore.ru/2023/10/23/33-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-avtomatizacija-nexpose-ustanovka-nexpose/
#gray_hat
#nexpose
#33 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматизация Nexpose. Установка Nexpose.
В этом разделе я покажу Вам, как использовать C# для автоматизации сканера уязвимостей Nexpose Rapid7, чтобы создать сайт Nexpose, просканировать этот сайт, создать отчет в формате PDF об уязвимостях сайта, а затем удалить сайт. Отчеты Nexpose невероятно гибки и мощны, позволяя автоматически создавать отчеты для самых разных аудиторий, от руководителей до технических администраторов.
Подробнее: https://timcore.ru/2023/10/23/33-gray-hat-c-rukovodstvo-dlja-hakera-po-sozdaniju-i-avtomatizacii-instrumentov-bezopasnosti-avtomatizacija-nexpose-ustanovka-nexpose/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#33 Gray Hat C#. Руководство для хакера по созданию и автоматизации инструментов безопасности. Автоматизация Nexpose. Установка…
В этом разделе я покажу Вам, как использовать C# для автоматизации сканера уязвимостей Nexpose Rapid7, чтобы создать сайт Nexpose, просканировать этот сайт, создать отчет в формате PDF об уязвимостях сайта, а затем удалить сайт. Отчеты Nexpose невероятно…