#bug_bounty
#bug_hunting
#subdomain
#8 Bug Bounty v.2 — Простой взлом поддомена
Здравствуйте, дорогие друзья.
Другой чрезвычайно популярной уязвимостью является захват поддоменов. Несмотря на то, что эта уязвимость значительно уменьшилась, она по-прежнему очень распространена в дикой природе. Если вы не знакомы с этим типом уязвимостей, то, согласно Google, “Атаки на захват поддомена — это класс проблем безопасности, при которых злоумышленник может захватить контроль над поддоменом организации с помощью облачных сервисов, таких как AWS или Azure”.
Подробнее: https://timcore.ru/2024/07/22/8-bug-bounty-v-2-prostoj-vzlom-poddomena/
#bug_hunting
#subdomain
#8 Bug Bounty v.2 — Простой взлом поддомена
Здравствуйте, дорогие друзья.
Другой чрезвычайно популярной уязвимостью является захват поддоменов. Несмотря на то, что эта уязвимость значительно уменьшилась, она по-прежнему очень распространена в дикой природе. Если вы не знакомы с этим типом уязвимостей, то, согласно Google, “Атаки на захват поддомена — это класс проблем безопасности, при которых злоумышленник может захватить контроль над поддоменом организации с помощью облачных сервисов, таких как AWS или Azure”.
Подробнее: https://timcore.ru/2024/07/22/8-bug-bounty-v-2-prostoj-vzlom-poddomena/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#8 Bug Bounty v.2 - Простой взлом поддомена - Этичный хакинг с Михаилом Тарасовым (Timcore)
Другой чрезвычайно популярной уязвимостью является захват поддоменов. Несмотря на то, что эта уязвимость значительно уменьшилась, она по-прежнему очень распространена в дикой природе. Если вы не знакомы с этим типом уязвимостей, то, согласно Google, “Атаки…
#bug_bounty
#bug_hunting
#google_firebase
#9 Bug Bounty v.2 — Основные базы данных для взлома. Google Firebase
Здравствуйте, дорогие друзья.
База данных — это организованный набор данных, как правило, хранящихся в электронном виде и доступных для доступа с помощью компьютерной системы. Если вы часто атакуете веб-приложение, одной из основных целей является взлом серверной базы данных, поскольку именно в ней хранятся все конфиденциальные пользовательские данные. Взлом таких баз данных обычно предполагает использование уязвимости, связанной с внедрением sql-кода, но иногда это может быть намного проще. Эти базы данных часто доступны в Интернете без проверки подлинности, что делает их открытыми для взлома хакерами, как описано в следующих разделах.
Подробнее: https://timcore.ru/2024/07/24/9-bug-bounty-v-2-osnovnye-bazy-dannyh-dlja-vzloma-google-firebase/
#bug_hunting
#google_firebase
#9 Bug Bounty v.2 — Основные базы данных для взлома. Google Firebase
Здравствуйте, дорогие друзья.
База данных — это организованный набор данных, как правило, хранящихся в электронном виде и доступных для доступа с помощью компьютерной системы. Если вы часто атакуете веб-приложение, одной из основных целей является взлом серверной базы данных, поскольку именно в ней хранятся все конфиденциальные пользовательские данные. Взлом таких баз данных обычно предполагает использование уязвимости, связанной с внедрением sql-кода, но иногда это может быть намного проще. Эти базы данных часто доступны в Интернете без проверки подлинности, что делает их открытыми для взлома хакерами, как описано в следующих разделах.
Подробнее: https://timcore.ru/2024/07/24/9-bug-bounty-v-2-osnovnye-bazy-dannyh-dlja-vzloma-google-firebase/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#9 Bug Bounty v.2 - Основные базы данных для взлома. Google Firebase - Этичный хакинг с Михаилом Тарасовым (Timcore)
База данных - это организованный набор данных, как правило, хранящихся в электронном виде и доступных для доступа с помощью компьютерной системы. Если вы часто атакуете веб-приложение, одной из основных целей является взлом серверной базы данных, поскольку…
#bug_bounty
#bug_hunting
#elasticsearch
#10 Bug Bounty v.2 — Основные базы данных для взлома. ElasticSearch
Здравствуйте, дорогие друзья.
Вы, вероятно, слышали о популярной реляционной базе данных под названием MySQL. ElasticSearch, как и MySQL, является базой данных, используемой для хранения и запроса информации. Однако ElasticSearch обычно используется для выполнения полнотекстового поиска в очень больших наборах данных. Следует также отметить, что ElasticSearch по умолчанию не проходит проверку подлинности, что может вызвать множество проблем с безопасностью, как описано в следующих разделах.
Подробнее: https://timcore.ru/2024/07/24/10-bug-bounty-v-2-osnovnye-bazy-dannyh-dlja-vzloma-elasticsearch/
#bug_hunting
#elasticsearch
#10 Bug Bounty v.2 — Основные базы данных для взлома. ElasticSearch
Здравствуйте, дорогие друзья.
Вы, вероятно, слышали о популярной реляционной базе данных под названием MySQL. ElasticSearch, как и MySQL, является базой данных, используемой для хранения и запроса информации. Однако ElasticSearch обычно используется для выполнения полнотекстового поиска в очень больших наборах данных. Следует также отметить, что ElasticSearch по умолчанию не проходит проверку подлинности, что может вызвать множество проблем с безопасностью, как описано в следующих разделах.
Подробнее: https://timcore.ru/2024/07/24/10-bug-bounty-v-2-osnovnye-bazy-dannyh-dlja-vzloma-elasticsearch/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#10 Bug Bounty v.2 — Основные базы данных для взлома. ElasticSearch - Этичный хакинг с Михаилом Тарасовым (Timcore)
Вы, вероятно, слышали о популярной реляционной базе данных под названием MySQL. ElasticSearch, как и MySQL, является базой данных, используемой для хранения и запроса информации. Однако ElasticSearch обычно используется для выполнения полнотекстового поиска…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#vulnerability
Cписок популярных уязвимостей в области информационной безопасности
Подробнее: https://timcourse.ru/cpisok-populyarnyh-uyazvimostej-v-oblasti-informaczionnoj-bezopasnosti/
Cписок популярных уязвимостей в области информационной безопасности
Подробнее: https://timcourse.ru/cpisok-populyarnyh-uyazvimostej-v-oblasti-informaczionnoj-bezopasnosti/
Авторские курсы Михаила Тарасова
Cписок популярных уязвимостей в области информационной безопасности — Авторские курсы Михаила Тарасова
Forwarded from Школа программирования и этичного хакинга «Timcore»
#buffer_overflow
#vulnerability
#c
Объяснение уязвимости переполнения буфера, и защита от этой уязвимости
Переполнение буфера происходит, когда программа записывает больше данных в буфер, чем он может вместить. Это может привести к перезаписи соседних данных в памяти, что может быть использовано злоумышленниками для выполнения произвольного кода.
Подробнее: https://timcourse.ru/obyasnenie-uyazvimosti-perepolneniya-bufera-i-zashhita-ot-etoj-uyazvimosti/
#vulnerability
#c
Объяснение уязвимости переполнения буфера, и защита от этой уязвимости
Переполнение буфера происходит, когда программа записывает больше данных в буфер, чем он может вместить. Это может привести к перезаписи соседних данных в памяти, что может быть использовано злоумышленниками для выполнения произвольного кода.
Подробнее: https://timcourse.ru/obyasnenie-uyazvimosti-perepolneniya-bufera-i-zashhita-ot-etoj-uyazvimosti/
Авторские курсы Михаила Тарасова
Объяснение уязвимости переполнения буфера, и защита от этой уязвимости — Авторские курсы Михаила Тарасова
Переполнение буфера происходит, когда программа записывает больше данных в буфер, чем он может вместить. Это может привести к перезаписи соседних данных в памяти, что может быть использовано злоумышленниками для выполнения произвольного кода.
#bug_bounty
#bug_hunting
#mongodb
#11 Bug Bounty v.2 — База данных MongoDB
Здравствуйте, дорогие друзья.
Как и Elasticsearch, MongoDB является базой данных nosql, которая использует документы, подобные JSON, для хранения данных. Также, как и в остальных базах данных, о которых мы говорили, в MongoDB по умолчанию не реализована аутентификация. Это означает, что пользователь должен включить ее , о чем он часто забывает.
Подробнее: https://timcore.ru/2024/07/26/11-bug-bounty-v-2-baza-dannyh-mongodb/
#bug_hunting
#mongodb
#11 Bug Bounty v.2 — База данных MongoDB
Здравствуйте, дорогие друзья.
Как и Elasticsearch, MongoDB является базой данных nosql, которая использует документы, подобные JSON, для хранения данных. Также, как и в остальных базах данных, о которых мы говорили, в MongoDB по умолчанию не реализована аутентификация. Это означает, что пользователь должен включить ее , о чем он часто забывает.
Подробнее: https://timcore.ru/2024/07/26/11-bug-bounty-v-2-baza-dannyh-mongodb/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#11 Bug Bounty v.2 - База данных MongoDB - Этичный хакинг с Михаилом Тарасовым (Timcore)
Как и Elasticsearch, MongoDB является базой данных nosql, которая использует документы, подобные JSON, для хранения данных. Также, как и в остальных базах данных, о которых мы говорили, в MongoDB по умолчанию не реализована аутентификация. Это означает, что…
#bug_bounty
#bug_hunting
#brute_force
#12 Bug Bounty v.2 — Базовый взлом методом брутфорса
Здравствуйте, дорогие друзья.
Брутфорсинг — это классическая атака, которая существует уже целую вечность и не дает никаких признаков того, что от нее можно избавиться. Пароли — это слабое место в системе безопасности, и вам, как злоумышленнику, следует в полной мере воспользоваться этим преимуществом. Легко угадываемые пароли, использование паролей по умолчанию и повторное использование паролей — это простые способы взлома организации. Практическое правило заключается в том, что если есть экран входа в систему, он должен быть взломан.
Подробнее: https://timcore.ru/2024/07/26/12-bug-bounty-v-2-bazovyj-vzlom-metodom-brutforsa/
#bug_hunting
#brute_force
#12 Bug Bounty v.2 — Базовый взлом методом брутфорса
Здравствуйте, дорогие друзья.
Брутфорсинг — это классическая атака, которая существует уже целую вечность и не дает никаких признаков того, что от нее можно избавиться. Пароли — это слабое место в системе безопасности, и вам, как злоумышленнику, следует в полной мере воспользоваться этим преимуществом. Легко угадываемые пароли, использование паролей по умолчанию и повторное использование паролей — это простые способы взлома организации. Практическое правило заключается в том, что если есть экран входа в систему, он должен быть взломан.
Подробнее: https://timcore.ru/2024/07/26/12-bug-bounty-v-2-bazovyj-vzlom-metodom-brutforsa/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#12 Bug Bounty v.2 - Базовый взлом методом брутфорса - Этичный хакинг с Михаилом Тарасовым (Timcore)
Брутфорсинг - это классическая атака, которая существует уже целую вечность и не дает никаких признаков того, что от нее можно избавиться. Пароли - это слабое место в системе безопасности, и вам, как злоумышленнику, следует в полной мере воспользоваться этим…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#buffer_overflow
#vulnerability
#c
Эксплойт на языке программирования С для уязвимости переполнения буфера
Создание эксплойтов для уязвимостей переполнения буфера может быть незаконным и неэтичным, если используется для вредоносных целей. Однако, для образовательных целей и понимания того, как работают уязвимости и как их можно предотвратить, можно рассмотреть пример уязвимого кода и потенциального эксплойта.
Подробнее: https://timcourse.ru/eksplojt-na-yazyke-programmirovaniya-s-dlya-uyazvimosti-perepolneniya-bufera/
#vulnerability
#c
Эксплойт на языке программирования С для уязвимости переполнения буфера
Создание эксплойтов для уязвимостей переполнения буфера может быть незаконным и неэтичным, если используется для вредоносных целей. Однако, для образовательных целей и понимания того, как работают уязвимости и как их можно предотвратить, можно рассмотреть пример уязвимого кода и потенциального эксплойта.
Подробнее: https://timcourse.ru/eksplojt-na-yazyke-programmirovaniya-s-dlya-uyazvimosti-perepolneniya-bufera/
Авторские курсы Михаила Тарасова
Эксплойт на языке программирования С для уязвимости переполнения буфера — Авторские курсы Михаила Тарасова
Создание эксплойтов для уязвимостей переполнения буфера может быть незаконным и неэтичным, если используется для вредоносных целей. Однако, для образовательных целей и понимания того, как работают уязвимости и как их можно предотвратить, можно рассмотреть…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#cybersecurity
#vulnerability
Актуальные уязвимости на 2024 год
Информационная безопасность — это динамичная область, и новые уязвимости постоянно обнаруживаются, в то время как старые продолжают представлять угрозу, если не принимаются соответствующие меры по их устранению.
Подробнее: https://timcourse.ru/aktualnye-uyazvimosti-na-2024-god/
#vulnerability
Актуальные уязвимости на 2024 год
Информационная безопасность — это динамичная область, и новые уязвимости постоянно обнаруживаются, в то время как старые продолжают представлять угрозу, если не принимаются соответствующие меры по их устранению.
Подробнее: https://timcourse.ru/aktualnye-uyazvimosti-na-2024-god/
Авторские курсы Михаила Тарасова
Актуальные уязвимости на 2024 год — Авторские курсы Михаила Тарасова
Информационная безопасность - это динамичная область, и новые уязвимости постоянно обнаруживаются, в то время как старые продолжают представлять угрозу, если не принимаются соответствующие меры по их устранению.
📚 Друзья, рад представить Вам мою новую книгу-сборник «Хакер-программист»! 📚
Если Вы интересуетесь этичным хакингом и программированием, то эта книга станет для Вас настоящим кладезем знаний. Внутри Вы найдете 17 подробных разделов, которые охватывают все аспекты этой увлекательной и важной темы:
1. Заработок для хакера
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9584632%2Fquery
2. Основы хакинга
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9237103%2Fquery
3. Kali Linux для начинающих
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_4996935%2Fquery
4. Программирование на Go для начинающих
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9562398%2Fquery
5. Программирование на Ассемблере для начинающих
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9664238%2Fquery
6. Хакинг на JavaScript
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9092464%2Fquery
7. Хакинг на Ruby
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9553339%2Fquery
8. Хакерские инструменты на PHP8
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9060882%2Fquery
9. Хакинг bWAPP - buggy web application. Эксплуатация 100 уязвимостей
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_8337216%2Fquery
10. Хакинг DVWA. Полное прохождение
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_7367979%2Fquery
11. Уязвимость SQL инъекция. Практическое руководство для хакеров
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_8363828%2Fquery
12. Уязвимость Cross-Site Scripting XSS. Практическое руководство
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_8411529%2Fquery
13. Пост-эксплуатация веб-сервера
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_8442259%2Fquery
14. Cross Site Request Forgery (CSRF)
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9345816%2Fquery
15. Прохождение CTF. Мистер Робот. Практический курс
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9357732%2Fquery
16. CTF. VulnHub - 8 райтапов
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9267197%2Fquery
17. Kali Linux для продвинутого тестирования на проникновение
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_8574265%2Fquery
Объем книги впечатляет – целых 4074 страницы, наполненные полезной информацией и практическими примерами. Стоимость книги составляет 5000 рублей.
🔗 Заказать книгу можно, написав по контакту в телеграм: @timcore1
Не упустите возможность стать настоящим профессионалом в области этичного хакинга и программирования! 💻🔒
Если Вы интересуетесь этичным хакингом и программированием, то эта книга станет для Вас настоящим кладезем знаний. Внутри Вы найдете 17 подробных разделов, которые охватывают все аспекты этой увлекательной и важной темы:
1. Заработок для хакера
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9584632%2Fquery
2. Основы хакинга
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9237103%2Fquery
3. Kali Linux для начинающих
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_4996935%2Fquery
4. Программирование на Go для начинающих
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9562398%2Fquery
5. Программирование на Ассемблере для начинающих
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9664238%2Fquery
6. Хакинг на JavaScript
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9092464%2Fquery
7. Хакинг на Ruby
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9553339%2Fquery
8. Хакерские инструменты на PHP8
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9060882%2Fquery
9. Хакинг bWAPP - buggy web application. Эксплуатация 100 уязвимостей
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_8337216%2Fquery
10. Хакинг DVWA. Полное прохождение
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_7367979%2Fquery
11. Уязвимость SQL инъекция. Практическое руководство для хакеров
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_8363828%2Fquery
12. Уязвимость Cross-Site Scripting XSS. Практическое руководство
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_8411529%2Fquery
13. Пост-эксплуатация веб-сервера
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_8442259%2Fquery
14. Cross Site Request Forgery (CSRF)
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9345816%2Fquery
15. Прохождение CTF. Мистер Робот. Практический курс
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9357732%2Fquery
16. CTF. VulnHub - 8 райтапов
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_9267197%2Fquery
17. Kali Linux для продвинутого тестирования на проникновение
https://vk.com/uslugi-44038255?section=section§ion_id=HUkaVBkFWVZxRwcDWVg2&w=product-44038255_8574265%2Fquery
Объем книги впечатляет – целых 4074 страницы, наполненные полезной информацией и практическими примерами. Стоимость книги составляет 5000 рублей.
🔗 Заказать книгу можно, написав по контакту в телеграм: @timcore1
Не упустите возможность стать настоящим профессионалом в области этичного хакинга и программирования! 💻🔒
#bug_bounty
#bug_hunting
#burp_suite
#13 Bug Bounty v.2 — Базовый взлом с Burp Suite. Прокси
Здравствуйте, дорогие друзья.
Если и есть какой-то инструмент, который вам нужен, чтобы стать успешным охотником за ошибками, то это Burp Suite. Вы можете найти множество ошибок, даже не выходя из Burp. Это, безусловно, мой самый популярный и любимый инструмент. Почти все веб-атаки, которые я провожу, находятся в Burp. Если вы не знаете, что такое Burp, это инструмент для проведения тестов безопасности веб-приложений.
Подробнее: https://timcore.ru/2024/07/29/13-bug-bounty-v-2-bazovyj-vzlom-s-burp-suite-proksi/
#bug_hunting
#burp_suite
#13 Bug Bounty v.2 — Базовый взлом с Burp Suite. Прокси
Здравствуйте, дорогие друзья.
Если и есть какой-то инструмент, который вам нужен, чтобы стать успешным охотником за ошибками, то это Burp Suite. Вы можете найти множество ошибок, даже не выходя из Burp. Это, безусловно, мой самый популярный и любимый инструмент. Почти все веб-атаки, которые я провожу, находятся в Burp. Если вы не знаете, что такое Burp, это инструмент для проведения тестов безопасности веб-приложений.
Подробнее: https://timcore.ru/2024/07/29/13-bug-bounty-v-2-bazovyj-vzlom-s-burp-suite-proksi/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#13 Bug Bounty v.2 - Базовый взлом с Burp Suite. Прокси - Этичный хакинг с Михаилом Тарасовым (Timcore)
Если и есть какой-то инструмент, который вам нужен, чтобы стать успешным охотником за ошибками, то это Burp Suite. Вы можете найти множество ошибок, даже не выходя из Burp, это, безусловно, мой самый популярный и любимый инструмент, почти все веб-атаки, которые…
#bug_bounty
#bug_hunting
#burp_suite
#14 Bug Bounty v.2 - Базовый взлом с Burp Suite. Target. Intruder. Repeater
Здравствуйте, дорогие друзья.
Как правило, я не попадаю в раздел Target burp suite, но думаю, что все равно важно знать, что это такое. Вложенная вкладка “Карта сайта” упорядочивает каждый запрос, просматриваемый прокси-сервером, и создает карту сайта.
Подробнее: https://timcore.ru/2024/07/29/14-bug-bounty-v-2-bazovyj-vzlom-s-burp-suite-target-intruder-repeater/
#bug_hunting
#burp_suite
#14 Bug Bounty v.2 - Базовый взлом с Burp Suite. Target. Intruder. Repeater
Здравствуйте, дорогие друзья.
Как правило, я не попадаю в раздел Target burp suite, но думаю, что все равно важно знать, что это такое. Вложенная вкладка “Карта сайта” упорядочивает каждый запрос, просматриваемый прокси-сервером, и создает карту сайта.
Подробнее: https://timcore.ru/2024/07/29/14-bug-bounty-v-2-bazovyj-vzlom-s-burp-suite-target-intruder-repeater/
Этичный хакинг с Михаилом Тарасовым (Timcore)
#14 Bug Bounty v.2 - Базовый взлом с Burp Suite. Target. Intruder. Repeater - Этичный хакинг с Михаилом Тарасовым (Timcore)
Как правило, я не попадаю в целевой раздел burp suite, но думаю, что все равно важно знать, что это такое. Вложенная вкладка “Карта сайта” упорядочивает каждый запрос, просматриваемый прокси-сервером, и создает карту сайта.
Forwarded from Школа программирования и этичного хакинга «Timcore»
#cybersecurity
#vulnerability
#idor
Объяснение уязвимости IDOR, и защита от этой уязвимости
Уязвимость IDOR (Insecure Direct Object References) возникает, когда приложение не проверяет должным образом права доступа пользователя к объектам, на которые он пытается получить доступ. Это может позволить злоумышленнику получить доступ к данным, к которым он не должен иметь доступ, просто изменив параметры запроса.
Подробнее: https://timcourse.ru/obyasnenie-uyazvimosti-idor-i-zashhita-ot-etoj-uyazvimosti/
#vulnerability
#idor
Объяснение уязвимости IDOR, и защита от этой уязвимости
Уязвимость IDOR (Insecure Direct Object References) возникает, когда приложение не проверяет должным образом права доступа пользователя к объектам, на которые он пытается получить доступ. Это может позволить злоумышленнику получить доступ к данным, к которым он не должен иметь доступ, просто изменив параметры запроса.
Подробнее: https://timcourse.ru/obyasnenie-uyazvimosti-idor-i-zashhita-ot-etoj-uyazvimosti/
Авторские курсы Михаила Тарасова
Объяснение уязвимости IDOR, и защита от этой уязвимости — Авторские курсы Михаила Тарасова
Уязвимость IDOR (Insecure Direct Object References) возникает, когда приложение не проверяет должным образом права доступа пользователя к объектам, на которые он пытается получить доступ. Это может позволить злоумышленнику получить доступ к данным, к которым…
Forwarded from Школа программирования и этичного хакинга «Timcore»
#cybersecurity
#vulnerability
Объяснение уязвимости — Missing Function Level Access Control, и защита от нее
Уязвимость «Missing Function Level Access Control» (Отсутствие контроля доступа на уровне функций) возникает, когда приложение не проверяет, имеет ли пользователь право выполнять определенные функции или действия. Это может позволить неавторизованным пользователям получить доступ к функциям, которые должны быть доступны только определенным группам пользователей, таким как администраторы или модераторы.
Подробнее: https://timcourse.ru/obyasnenie-uyazvimosti-missing-function-level-access-control-i-zashhita-ot-nee/
#vulnerability
Объяснение уязвимости — Missing Function Level Access Control, и защита от нее
Уязвимость «Missing Function Level Access Control» (Отсутствие контроля доступа на уровне функций) возникает, когда приложение не проверяет, имеет ли пользователь право выполнять определенные функции или действия. Это может позволить неавторизованным пользователям получить доступ к функциям, которые должны быть доступны только определенным группам пользователей, таким как администраторы или модераторы.
Подробнее: https://timcourse.ru/obyasnenie-uyazvimosti-missing-function-level-access-control-i-zashhita-ot-nee/
Авторские курсы Михаила Тарасова
Объяснение уязвимости - Missing Function Level Access Control, и защита от нее — Авторские курсы Михаила Тарасова
Уязвимость "Missing Function Level Access Control" (Отсутствие контроля доступа на уровне функций) возникает, когда приложение не проверяет, имеет ли пользователь право выполнять определенные функции или действия. Это может позволить неавторизованным пользователям…
📚 Предоставляю Вашему вниманию бесплатный архив из 80 книг по хакингу! 📚
Дорогие друзья, рад сообщить, что собрал для Вас актуальные и наиболее интересные книги в данной подборке. Здесь Вы найдете как базовые материалы для начинающих, так и глубокие исследования для опытных специалистов.
🔍 В архиве:
- Основы сетевой безопасности
- Методы и техники хакинга
- Социальная инженерия
- Программирование и скрипты
- Защита данных и криптография
И многое другое!
💡 Эти книги помогут Вам расширить свои знания, улучшить навыки и, возможно, даже открыть новые горизонты в области кибербезопасности.
📥 Скачать архив можно, написав по контакту: @timcore1
Не забудьте поделиться с друзьями и оставить свои отзывы! 🌟
#Хакинг #Кибербезопасность #Образование #Книги #IT #Технологии #Обучение #Навыки
P.S. Помните, что знания должны использоваться только в законных целях и для улучшения безопасности. 🔒
Дорогие друзья, рад сообщить, что собрал для Вас актуальные и наиболее интересные книги в данной подборке. Здесь Вы найдете как базовые материалы для начинающих, так и глубокие исследования для опытных специалистов.
🔍 В архиве:
- Основы сетевой безопасности
- Методы и техники хакинга
- Социальная инженерия
- Программирование и скрипты
- Защита данных и криптография
И многое другое!
💡 Эти книги помогут Вам расширить свои знания, улучшить навыки и, возможно, даже открыть новые горизонты в области кибербезопасности.
📥 Скачать архив можно, написав по контакту: @timcore1
Не забудьте поделиться с друзьями и оставить свои отзывы! 🌟
#Хакинг #Кибербезопасность #Образование #Книги #IT #Технологии #Обучение #Навыки
P.S. Помните, что знания должны использоваться только в законных целях и для улучшения безопасности. 🔒
Управление «К» МВД России
Управление «К» МВД России — подразделение
по борьбе с преступлениями в сфере информационных технологий является одним из наиболее секретных органов, входящих в состав министерства, а, благодаря работе сотрудников управления удалось значительно упростить и повысить эффективность розыскной деятельности, увеличить процент общей раскрываемости и предотвращения преступлений на ранней стадии. Об этом написал в своём Telegram -канале глава Комитета СФ по обороне и безопасности Виктор Бондарев. Он поздравил 14 августа всех сотрудников подразделения с профессиональным праздником.
Сенатор напомнил, что 19 октября 1992 года приказом Министра внутренних дел было создано Бюро специальных технических мероприятий при МВД России, в структуре которого и было создано Управление «К» для пресечения попыток взлома, распространения запрещенных материалов, воровства личных данных.
Эти люди занимаются сложной и чрезвычайно важной работой, обеспечивая защиту наших личных данных. Пресекают кражи с финансовых счетов. Предотвращают попытки организации террористических актов
Как отмечал в беседе с «СенатИнформ» зампред Совета по развитию цифровой экономики при СФ, член Комитета верхней палаты по конституционному законодательству и государственному строительству Артём Шейкин, сфера кибербезопасности законодательно ещё не до конца отрегулирована , и получается, что сейчас очень много прорех, которые не позволяют гражданам правильно понять ситуацию, а правоохранительным органам — принять выверенное решение.
Ранее Председатель СФ Валентина Матвиенко призывала региональные власти усилить финансирование подразделений МВД. «Губернаторы должны помогать органам внутренних дел и в обеспечении жильём, и техникой, компьютерами», — отметила спикер, уточнив, что у министерства не всегда хватает для этого средств.
Управление «К» МВД России — подразделение
по борьбе с преступлениями в сфере информационных технологий является одним из наиболее секретных органов, входящих в состав министерства, а, благодаря работе сотрудников управления удалось значительно упростить и повысить эффективность розыскной деятельности, увеличить процент общей раскрываемости и предотвращения преступлений на ранней стадии. Об этом написал в своём Telegram -канале глава Комитета СФ по обороне и безопасности Виктор Бондарев. Он поздравил 14 августа всех сотрудников подразделения с профессиональным праздником.
Сенатор напомнил, что 19 октября 1992 года приказом Министра внутренних дел было создано Бюро специальных технических мероприятий при МВД России, в структуре которого и было создано Управление «К» для пресечения попыток взлома, распространения запрещенных материалов, воровства личных данных.
Эти люди занимаются сложной и чрезвычайно важной работой, обеспечивая защиту наших личных данных. Пресекают кражи с финансовых счетов. Предотвращают попытки организации террористических актов
Как отмечал в беседе с «СенатИнформ» зампред Совета по развитию цифровой экономики при СФ, член Комитета верхней палаты по конституционному законодательству и государственному строительству Артём Шейкин, сфера кибербезопасности законодательно ещё не до конца отрегулирована , и получается, что сейчас очень много прорех, которые не позволяют гражданам правильно понять ситуацию, а правоохранительным органам — принять выверенное решение.
Ранее Председатель СФ Валентина Матвиенко призывала региональные власти усилить финансирование подразделений МВД. «Губернаторы должны помогать органам внутренних дел и в обеспечении жильём, и техникой, компьютерами», — отметила спикер, уточнив, что у министерства не всегда хватает для этого средств.
Современная война ведётся не только на полях сражений. Не менее важна война в информационном пространстве, борьба за сознание, за умы и сердца людей.
С первых дней СВО коллективный Запад попытался уничтожить российские информационные ресурсы, доносившие до иностранцев нашу точку зрения. Блокировки RT, Sputnik, цензура в YouTube и на FB. На стороне Запада - технологическое превосходство, контроль над цифровыми платформами. Чтобы выстоять и победить, нам пришлось перейти к партизанским методам борьбы в информпространстве.
По инициативе Юрия Подоляки весной 2022 г. был создан проект Infodefense - сеть каналов на иностранных языках, с помощью которых доносим правду о происходящем до людей в других странах. Сквозь завесу лжи, цензуры и манипуляций. В проекте работают волонтёры из России и многих зарубежных стран. Наше оружие - правда, которую мы доносим до сотен тысяч читателей на 30 языках.
Каждый из вас не выходя из дома, потратив немного свободного времени, может принять посильное участие в информационной борьбе. Нам нужны переводчики с иностранных языков, дизайнеры, видеомонтажеры, программисты. Особенно остро нужны люди, владеющие редкими (для России) языками - арабским, турецким, китайским, узбекским, азербайджанским, армянским, японским, скандинавскими, балтийскими.
Если вы не владеете иностранным языком даже на базовом уровне, в проекте всё равно найдётся для вас работа. Мы научим, подскажем, объясним. Вы сможете стать частью "мягкой силы России", внести свой вклад в будущую Победу. Кто если не мы?
Если вы хотите принять участие в проекте, пишите сюда
@InfoDefenseTeamBot
резервный канал связи
http://t.me/InfoDefenseMailBot
Здесь описание проекта и список каналов на иностранных языках
https://t.me/InfoDefAll
С первых дней СВО коллективный Запад попытался уничтожить российские информационные ресурсы, доносившие до иностранцев нашу точку зрения. Блокировки RT, Sputnik, цензура в YouTube и на FB. На стороне Запада - технологическое превосходство, контроль над цифровыми платформами. Чтобы выстоять и победить, нам пришлось перейти к партизанским методам борьбы в информпространстве.
По инициативе Юрия Подоляки весной 2022 г. был создан проект Infodefense - сеть каналов на иностранных языках, с помощью которых доносим правду о происходящем до людей в других странах. Сквозь завесу лжи, цензуры и манипуляций. В проекте работают волонтёры из России и многих зарубежных стран. Наше оружие - правда, которую мы доносим до сотен тысяч читателей на 30 языках.
Каждый из вас не выходя из дома, потратив немного свободного времени, может принять посильное участие в информационной борьбе. Нам нужны переводчики с иностранных языков, дизайнеры, видеомонтажеры, программисты. Особенно остро нужны люди, владеющие редкими (для России) языками - арабским, турецким, китайским, узбекским, азербайджанским, армянским, японским, скандинавскими, балтийскими.
Если вы не владеете иностранным языком даже на базовом уровне, в проекте всё равно найдётся для вас работа. Мы научим, подскажем, объясним. Вы сможете стать частью "мягкой силы России", внести свой вклад в будущую Победу. Кто если не мы?
Если вы хотите принять участие в проекте, пишите сюда
@InfoDefenseTeamBot
резервный канал связи
http://t.me/InfoDefenseMailBot
Здесь описание проекта и список каналов на иностранных языках
https://t.me/InfoDefAll
Минутка информационной безопасности: жителям Брянской, Курской, Белгородской областей, военнослужащим и всем представителям силовых структур там же!
1. Всем владельцам камер цифровых IP-камер видеонаблюдения — предусмотрите меры безопасности по их использованию. Во-первых, ставьте на них сложные пароли, во-вторых, избегайте "дефолтных" паролей вроде "12345", "admin12345" и т.п. Противник массово выявляет ip-диапазоны на наших территориях и подключается к незащищенным камерам УДАЛЕННО, просматривая все — от частных дворов до дорог и трасс стратегического значения. Если нет острой необходимости, лучше не пользоваться камерами видеонаблюдения вообще! На вражеской территории, например, с такими камерами строжайше борются.
2. Всем владельцам видеорегистраторов и пользователям социальных сетей — прекратите выкладывать видеозаписи своих поездок или проводить трансляции/стримы при движении по автомагистралям, где так же двигается военная техника. Поверьте, глаз противника хватает даже на ваши стримы с жалкими 50-100 зрителей. У вас порой попадают крайне "интересные" вещи в кадр, не нужно этого делать.
3. Всем военнослужащим и силовикам — отключите в Telegram функцию "Люди рядом", далее: уберите все фотографии, свидетельствующие о вашей ведомственной принадлежности, измените никнеймы, по которым вас можно отождествить как СВОшников или силовиков. Проверьте свои номера через специализированные ресурсы, осуществляющие парсинг с телефонных книг (см. в Интернете, как это сделать). Если в поисковой выдаче ваш номер выходит как записанный у третьих лиц в виде "Лёша ФСБ", "Паша Росгвардия", "Миша 123 полк", этот номер нужно СМЕНИТЬ, он скомпрометирован. Кроме этого, закройте свои персональные данные, завязанные на почту/номер телефона, в специальных поисковых агрегаторах в Telegram! Если не умеете или не знаете, как это делать, лучше меняйте номера и почты!!
4. Всем: убирайте из социальных сетей (ВК, Инстаграм, Telegram) все геометки и привязку фотографий к геолокациям. Противник в режиме реального времени мониторить соцсети по этим меткам и выявляет фактическое местоположение военных и др. силовиков.
5. Сотрудникам энергетической отрасли, в т.ч. атомной — необходимо почистить из соцсетей вашу профессиональную принадлежность, дабы не становиться объектами интереса спецслужб противника. Сейчас это как никогда актуально!
6. Всем военнослужащим и силовикам, находящимся на территории указанных регионов ЦФО — прекратить использование онлайн-сервисов знакомств типа "ДайВинчика" и прочих! Каждый пятый "женский" профиль, указывающий в анкете ваши регионы — это хохлы, которые под легендой будут с вами общаться и "втемную" тянуть информацию! Если у вас нет возможности и желания "пробивать" и проверять каждого собеседника — лучше уходите оттуда. То же касается и других ресурсов, основанных на знакомстве через анкеты с привязкой к местности.
7. Ни в СМС, ни в мессенджерах, ни в сообщениях не нажимать ни на одну из ссылок (гиперссылок), приходящих от незнакомых или знакомых лиц, без предварительного получения достоверной информации о природе и содержании данной ссылки (желательно все ссылки перед нажатием прокидывать через ресурсы, проверяющие на вирусы, например https://vms.drweb.ru/online/).
8. Везде в аккаунтах, где только можно, проставить 2FA (двухфакторную аутентификацию), по возможности аккаунты закрыть настройками приватности! Это касается особенно: военных, госслужащих, энергетиков и пр.!!
9. Классическое и вечное — исключить использование WhatsApp для обсуждения служебных и боевых вопросов, а также всего, что касается тематики СВО!
10. Военнослужащим на ЛБС — по возможности избегать использования телефонов с большим количеством как служебной, так и личной информации в ситуациях, когда противник может получить физический доступ к трубке, и, следовательно, рабочим чатам/группам. Уже сталкивались с такой проблемой. Необходимо контролировать и модерировать чаты и оперативно удалять из них аккаунты лиц, попавших в плен к противнику, а также аккаунты лиц, к чьим телефонам противник получил доступ.
1. Всем владельцам камер цифровых IP-камер видеонаблюдения — предусмотрите меры безопасности по их использованию. Во-первых, ставьте на них сложные пароли, во-вторых, избегайте "дефолтных" паролей вроде "12345", "admin12345" и т.п. Противник массово выявляет ip-диапазоны на наших территориях и подключается к незащищенным камерам УДАЛЕННО, просматривая все — от частных дворов до дорог и трасс стратегического значения. Если нет острой необходимости, лучше не пользоваться камерами видеонаблюдения вообще! На вражеской территории, например, с такими камерами строжайше борются.
2. Всем владельцам видеорегистраторов и пользователям социальных сетей — прекратите выкладывать видеозаписи своих поездок или проводить трансляции/стримы при движении по автомагистралям, где так же двигается военная техника. Поверьте, глаз противника хватает даже на ваши стримы с жалкими 50-100 зрителей. У вас порой попадают крайне "интересные" вещи в кадр, не нужно этого делать.
3. Всем военнослужащим и силовикам — отключите в Telegram функцию "Люди рядом", далее: уберите все фотографии, свидетельствующие о вашей ведомственной принадлежности, измените никнеймы, по которым вас можно отождествить как СВОшников или силовиков. Проверьте свои номера через специализированные ресурсы, осуществляющие парсинг с телефонных книг (см. в Интернете, как это сделать). Если в поисковой выдаче ваш номер выходит как записанный у третьих лиц в виде "Лёша ФСБ", "Паша Росгвардия", "Миша 123 полк", этот номер нужно СМЕНИТЬ, он скомпрометирован. Кроме этого, закройте свои персональные данные, завязанные на почту/номер телефона, в специальных поисковых агрегаторах в Telegram! Если не умеете или не знаете, как это делать, лучше меняйте номера и почты!!
4. Всем: убирайте из социальных сетей (ВК, Инстаграм, Telegram) все геометки и привязку фотографий к геолокациям. Противник в режиме реального времени мониторить соцсети по этим меткам и выявляет фактическое местоположение военных и др. силовиков.
5. Сотрудникам энергетической отрасли, в т.ч. атомной — необходимо почистить из соцсетей вашу профессиональную принадлежность, дабы не становиться объектами интереса спецслужб противника. Сейчас это как никогда актуально!
6. Всем военнослужащим и силовикам, находящимся на территории указанных регионов ЦФО — прекратить использование онлайн-сервисов знакомств типа "ДайВинчика" и прочих! Каждый пятый "женский" профиль, указывающий в анкете ваши регионы — это хохлы, которые под легендой будут с вами общаться и "втемную" тянуть информацию! Если у вас нет возможности и желания "пробивать" и проверять каждого собеседника — лучше уходите оттуда. То же касается и других ресурсов, основанных на знакомстве через анкеты с привязкой к местности.
7. Ни в СМС, ни в мессенджерах, ни в сообщениях не нажимать ни на одну из ссылок (гиперссылок), приходящих от незнакомых или знакомых лиц, без предварительного получения достоверной информации о природе и содержании данной ссылки (желательно все ссылки перед нажатием прокидывать через ресурсы, проверяющие на вирусы, например https://vms.drweb.ru/online/).
8. Везде в аккаунтах, где только можно, проставить 2FA (двухфакторную аутентификацию), по возможности аккаунты закрыть настройками приватности! Это касается особенно: военных, госслужащих, энергетиков и пр.!!
9. Классическое и вечное — исключить использование WhatsApp для обсуждения служебных и боевых вопросов, а также всего, что касается тематики СВО!
10. Военнослужащим на ЛБС — по возможности избегать использования телефонов с большим количеством как служебной, так и личной информации в ситуациях, когда противник может получить физический доступ к трубке, и, следовательно, рабочим чатам/группам. Уже сталкивались с такой проблемой. Необходимо контролировать и модерировать чаты и оперативно удалять из них аккаунты лиц, попавших в плен к противнику, а также аккаунты лиц, к чьим телефонам противник получил доступ.