#soc

Детектирование атак с применение SIEM: кейсы

В данной статье Izzmier Izzuddin приводит большое количество практических кейсов, связанными с отработкой правил корреляции на различные компьютерные атаки.

Приятного прочтения

БАГ-БАУНТИ ДАЙДЖЕСТ: САМЫЕ ИНТЕРЕСНЫЕ НАХОДКИ

🕵️‍♂️ Всем привет. Решил поделиться интересными находками из мира баг-баунти, которые попались мне на глаза в последнее время.

ВОСПРОИЗВЕДЕНИЕ БАГА НА $10,000
💰 Исследователь phoenixcatalan воспроизвел баг, за который ранее заплатили $10,000. Он не просто прочитал отчет, а полностью повторил всю цепочку действий: https://infosecwriteups.com/i-reproduced-a-10-000-bug-8466603e45e
Это хороший пример того, как изучение чужих находок может привести к собственным открытиям.

УЯЗВИМОСТЬ В FIREFOX: УДАЛЕНИЕ АККАУНТА БЕЗ 2FA
🔥 Monika sharma обнаружила уязвимость в Firefox, позволяющую удалить аккаунт без двухфакторной аутентификации. Баг принес ей $1,000: https://infosecwriteups.com/1-000-bug-firefox-account-deletion-without-2fa-or-authorization-67d6c5bfd028
Интересно, что такая серьезная проблема скрывалась в системе, которой пользуются миллионы людей.

ОТ НОВИЧКА ДО ПРОФИ
⚡️ Заслуживает внимания история CosmicByte — специалиста без технического образования, который стал успешным охотником за багами: https://medium.com/@cosmicbyt3/story-of-a-cyber-newbie-81dd7c92ff26
Это подтверждает, что в кибербезопасности главное — упорство и любопытство, а не формальные дипломы.

НЕСТАНДАРТНОЕ ПРИМЕНЕНИЕ VIRUSTOTAL
🔮 Vikas Anand продемонстрировал нестандартное применение VirusTotal — он использовал сервис не для проверки файлов на вирусы, а для поиска уязвимостей: https://kingcoolvikas.medium.com/how-i-earned-a-bounty-using-virustotal-recon-93024ee964ed
Такой подход напоминает, что иногда стоит взглянуть на привычные инструменты под другим углом.

КРИТИЧЕСКАЯ УЯЗВИМОСТЬ В ПРАВИТЕЛЬСТВЕННОМ ПРИЛОЖЕНИИ
🏛 El Professor Qais нашел критическую уязвимость в правительственном веб-приложении Малайзии и ответственно сообщил о проблеме: https://medium.com/@wanqais007/how-i-found-a-critical-vulnerability-on-a-gov-my-web-app-and-reported-it-responsibly-548f27296a01
Это пример этичного хакинга, который делает интернет безопаснее для всех.

$7,500 ЗА УТЕЧКУ EMAIL-АДРЕСОВ НА HACKERONE
🎭 Та же Monika sharma обнаружила способ раскрыть email-адреса любого пользователя HackerOne через приглашения в приватные программы. Находка принесла ей $7,500: https://infosecwriteups.com/7-500-bug-exposing-any-hackerone-users-email-via-private-program-invite-de6fd6b3b6c8
Ирония в том, что платформа для поиска уязвимостей сама оказалась уязвимой.

NETLAS DORKING: НОВЫЙ УРОВЕНЬ OSINT
🌐 AbhirupKonwar опубликовал материал о Netlas Dorking — мощном инструменте для OSINT-разведки: https://systemweakness.com/netlas-dorking-part-1-c847fac73c
Это своего рода Google Dorking на новом уровне, позволяющий находить открытые порты и уязвимые сервисы.

ОПАСНЫЙ ДИЗАЙН-ФЛОУ В OTP
🃏 Aman Banga выявил проблему в дизайне системы одноразовых паролей, которая позволяла создавать фейковые аккаунты: https://medium.com/@amanba13.ab/design-flaw-on-otp-endpoint-leads-to-create-fake-accounts-a-subtle-yet-dangerous-flaw-in-user-c511dfab89e0
Это напоминает, что уязвимости могут скрываться не только в коде, но и в логике работы приложения.

ФОРМА ДЛЯ ЖАЛОБ КАК ИНСТРУМЕНТ СПАМА
📯 Iski превратил обычную форму для жалоб в инструмент для массовой рассылки email: https://infosecwriteups.com/abuse-ception-how-i-turned-the-abuse-report-feature-into-a-mass-email-spammer-38b38a4c3c36
Хороший пример того, как функция с благими намерениями может быть использована не по назначению.

РУКОВОДСТВО ПО ВЗЛОМУ JWT
🗝 Aditya Bhatt продолжает серию руководств по взлому JSON Web Tokens: https://infosecwriteups.com/cracking-jwts-a-bug-bounty-hunting-guide-part-5-2791be30bd17
JWT используются повсеместно, и их неправильная реализация — частый источник уязвимостей.

ОБХОД ОГРАНИЧЕНИЙ ЧЕРЕЗ МОДИФИЦИРОВАННЫЕ HTTP-ЗАПРОСЫ
🪓 Gaurrav Luthra показал, как простая модификация HTTP-запроса позволила обойти ограничения безопасности и заработать $1,000: https://gaurrav.medium.com/1-000-bounty-for-bypassing-restrictions-via-modified-http-request-8a195a72ded7
Иногда самые простые техники оказываются самыми эффективными.

ТОП-10 AI-ИНСТРУМЕНТОВ ДЛЯ БАГ-ХАНТЕРОВ
🎲 Andrei Ivan составил список из 10 AI-инструментов для охотников за багами в 2025 году: https://medium.com/@sync-with-ivan/top-10-ai-powered-tools-every-bug-bounty-hunter-should-try-in-2025-3af6cfc6212e
Искусственный интеллект меняет правила игры в кибербезопасности, и стоит быть в курсе новых возможностей.

НЕ НУЖНО БЫТЬ ГЕНИЕМ, ЧТОБЫ СТАТЬ ХАКЕРОМ
🦊 Sumanth Yerranagula развенчивает миф о том, что хакерами становятся только гении: https://medium.com/@RootPwned/you-dont-need-to-be-a-genius-to-be-a-hacker-just-be-curious-72adbae6296
Главное качество — любопытство и желание разобраться в том, как работают системы.

RXSS В НЕИСПОЛЬЗУЕМОЙ ФУНКЦИИ
🧟‍♂️ Sevada797 нашел Reflected XSS в функции, которая даже не вызывалась в коде: https://medium.com/@zatikyan.sevada/rxss-in-uncalled-function-6eb14bc5bd6
https://github.com/Sevada797/get-bruter/
Это напоминает о важности проверки всего кода, даже если он кажется неиспользуемым.

УЯЗВИМОСТЬ В БИЗНЕС-ЛОГИКЕ
🚫 JEETPAL обнаружил уязвимость в бизнес-логике, позволяющую блокировать создание аккаунтов для любых пользователей: https://infosecwriteups.com/business-logic-allows-any-user-to-be-blocked-from-creating-an-account-6a7ab7013ccc
Ошибки в логике приложения часто приводят к серьезным последствиям.

СПРАВОЧНИК ПО УЯЗВИМОСТЯМ БИЗНЕС-ЛОГИКИ
📜 Gr3yG05T создал справочник по поиску уязвимостей в бизнес-логике приложений: https://gr3yg05t.medium.com/business-logic-flaws-a-bug-hunters-handbook-293f6a89a7f4
Это ценный ресурс для тех, кто хочет выйти за рамки стандартных проверок безопасности.

ГЛАВНЫЕ ВЫВОДЫ ДЛЯ ОХОТНИКОВ ЗА БАГАМИ:
1. 🔄 Воспроизведение известных багов может привести к новым открытиям
2. 🪚 Стандартные инструменты можно использовать нестандартным образом
3. 🧩 Уязвимости часто скрываются в бизнес-логике, а не только в коде
4. 👾 "Мертвый" код может оказаться источником проблем
5. 🦝 Для успеха в баг-баунти важнее любопытство, чем формальное образование

🦅 Охота за багами — это не просто поиск уязвимостей, это особый образ мышления, позволяющий видеть то, что другие пропускают.

чтобы читать статьи на medium без "paywall" используйте https://freedium.cfd/

Не все ссылки открываются тк конечный айдишник medium зависит от пользователя - поэтому переходите к автору конкретному статьи и смотрите😄

#Tech_book
#MLSecOps
"The Developer's Playbook for Large Language Model Security: Building Secure AI Applications", 2024.

Я просто не понимаю....это Блиновская? Успешный успех продается, вы будете зарабатывать много денег, но заплатите денег.... что....
Пж обьясните в комментах для кого это, вот миллиард источников открыто, есть нейронки, есть ctf позволяющие попробовать себя и найти единомышленников, есть реально авторитетные курсы и MINDMAP курсов, карьерный трек от позитивов...без негатива к создателям, но что за кринж

https://t.me/c/2417106595/153
https://securitymentor.ru

Возможно я ошибаюсь - пишите комменты, но немного хоть аргументированные.
Я помню начинал с юдемай, потом международные курсы и университеты (3 диплома по иб), есть даже СЛИТЫЕ ПЛАТНЫЕ курсы если реально хочется учится бесплатно....

БЕЗ негатива к автору, скорее всего есть спрос для людей которые не хотят ничего делать. Но они никем и не станут скорее всего

Пацаны никому не говорите это секрет🫶😱
https://cybersecurity-roadmap.ru/

Знакомьтесь

Исследователи обнаружили zero-click уязвимость в iMessage, которая позволяла атаковать iPhone без участия пользователя через банальное обновление никнейма.

Дыра получила название NICKNAME и затрагивала процесс обновления профиля в мессенджере. Злоумышленник мог отправить серию никнейм-апдейтов, вызывая состояние гонки и краш процесса imagent. В результате появлялась возможность выполнить произвольный код на устройстве жертвы.

iVerify утверждает, что под удар попали высокопоставленные лица из США и Евросоюза — политики, журналисты, топ-менеджеры IT-компаний. Краши составляли менее 0,001% от всех зафиксированных сбоев, но почему-то «случайно» происходили именно на смартфонах этих людей.

Apple закрыла брешь в iOS 18.3.1, но категорически отрицает факт целевых атак. Купертиновцы называют находку «обычным багом».

НеКасперский

АХАХАХА

Будущее пентеста be like:

Особенно смешно что новшество(новая позиция) в похеке это Mlsecops, пентест аи, по сути работающего как акинатор

A Comprehensive Guide to AI Security for CISOs: Challenges, Strategies, and Measuring Success

https://bigid.com/blog/a-ciso-guide-to-ai-security/