ТОП-10 AI-ИНСТРУМЕНТОВ ДЛЯ БАГ-ХАНТЕРОВ
🎲 Andrei Ivan составил список из 10 AI-инструментов для охотников за багами в 2025 году: https://medium.com/@sync-with-ivan/top-10-ai-powered-tools-every-bug-bounty-hunter-should-try-in-2025-3af6cfc6212e
Искусственный интеллект меняет правила игры в кибербезопасности, и стоит быть в курсе новых возможностей.
НЕ НУЖНО БЫТЬ ГЕНИЕМ, ЧТОБЫ СТАТЬ ХАКЕРОМ
🦊 Sumanth Yerranagula развенчивает миф о том, что хакерами становятся только гении: https://medium.com/@RootPwned/you-dont-need-to-be-a-genius-to-be-a-hacker-just-be-curious-72adbae6296
Главное качество — любопытство и желание разобраться в том, как работают системы.
RXSS В НЕИСПОЛЬЗУЕМОЙ ФУНКЦИИ
🧟♂️ Sevada797 нашел Reflected XSS в функции, которая даже не вызывалась в коде: https://medium.com/@zatikyan.sevada/rxss-in-uncalled-function-6eb14bc5bd6
https://github.com/Sevada797/get-bruter/
Это напоминает о важности проверки всего кода, даже если он кажется неиспользуемым.
УЯЗВИМОСТЬ В БИЗНЕС-ЛОГИКЕ
🚫 JEETPAL обнаружил уязвимость в бизнес-логике, позволяющую блокировать создание аккаунтов для любых пользователей: https://infosecwriteups.com/business-logic-allows-any-user-to-be-blocked-from-creating-an-account-6a7ab7013ccc
Ошибки в логике приложения часто приводят к серьезным последствиям.
СПРАВОЧНИК ПО УЯЗВИМОСТЯМ БИЗНЕС-ЛОГИКИ
📜 Gr3yG05T создал справочник по поиску уязвимостей в бизнес-логике приложений: https://gr3yg05t.medium.com/business-logic-flaws-a-bug-hunters-handbook-293f6a89a7f4
Это ценный ресурс для тех, кто хочет выйти за рамки стандартных проверок безопасности.
ГЛАВНЫЕ ВЫВОДЫ ДЛЯ ОХОТНИКОВ ЗА БАГАМИ:
1. 🔄 Воспроизведение известных багов может привести к новым открытиям
2. 🪚 Стандартные инструменты можно использовать нестандартным образом
3. 🧩 Уязвимости часто скрываются в бизнес-логике, а не только в коде
4. 👾 "Мертвый" код может оказаться источником проблем
5. 🦝 Для успеха в баг-баунти важнее любопытство, чем формальное образование
🦅 Охота за багами — это не просто поиск уязвимостей, это особый образ мышления, позволяющий видеть то, что другие пропускают.
🎲 Andrei Ivan составил список из 10 AI-инструментов для охотников за багами в 2025 году: https://medium.com/@sync-with-ivan/top-10-ai-powered-tools-every-bug-bounty-hunter-should-try-in-2025-3af6cfc6212e
Искусственный интеллект меняет правила игры в кибербезопасности, и стоит быть в курсе новых возможностей.
НЕ НУЖНО БЫТЬ ГЕНИЕМ, ЧТОБЫ СТАТЬ ХАКЕРОМ
🦊 Sumanth Yerranagula развенчивает миф о том, что хакерами становятся только гении: https://medium.com/@RootPwned/you-dont-need-to-be-a-genius-to-be-a-hacker-just-be-curious-72adbae6296
Главное качество — любопытство и желание разобраться в том, как работают системы.
RXSS В НЕИСПОЛЬЗУЕМОЙ ФУНКЦИИ
🧟♂️ Sevada797 нашел Reflected XSS в функции, которая даже не вызывалась в коде: https://medium.com/@zatikyan.sevada/rxss-in-uncalled-function-6eb14bc5bd6
https://github.com/Sevada797/get-bruter/
Это напоминает о важности проверки всего кода, даже если он кажется неиспользуемым.
УЯЗВИМОСТЬ В БИЗНЕС-ЛОГИКЕ
🚫 JEETPAL обнаружил уязвимость в бизнес-логике, позволяющую блокировать создание аккаунтов для любых пользователей: https://infosecwriteups.com/business-logic-allows-any-user-to-be-blocked-from-creating-an-account-6a7ab7013ccc
Ошибки в логике приложения часто приводят к серьезным последствиям.
СПРАВОЧНИК ПО УЯЗВИМОСТЯМ БИЗНЕС-ЛОГИКИ
📜 Gr3yG05T создал справочник по поиску уязвимостей в бизнес-логике приложений: https://gr3yg05t.medium.com/business-logic-flaws-a-bug-hunters-handbook-293f6a89a7f4
Это ценный ресурс для тех, кто хочет выйти за рамки стандартных проверок безопасности.
ГЛАВНЫЕ ВЫВОДЫ ДЛЯ ОХОТНИКОВ ЗА БАГАМИ:
1. 🔄 Воспроизведение известных багов может привести к новым открытиям
2. 🪚 Стандартные инструменты можно использовать нестандартным образом
3. 🧩 Уязвимости часто скрываются в бизнес-логике, а не только в коде
4. 👾 "Мертвый" код может оказаться источником проблем
5. 🦝 Для успеха в баг-баунти важнее любопытство, чем формальное образование
🦅 Охота за багами — это не просто поиск уязвимостей, это особый образ мышления, позволяющий видеть то, что другие пропускают.
Medium
Story of a Cyber Newbie
There are days I wake up feeling like a cyber ninja in training, browser open, Burp Suite ready, fingers dancing across keyboard like I am…
чтобы читать статьи на medium без "paywall" используйте https://freedium.cfd/
freedium.cfd
Breaking Medium paywall! - Freedium
Your paywall breakthrough for Medium!
Не все ссылки открываются тк конечный айдишник medium зависит от пользователя - поэтому переходите к автору конкретному статьи и смотрите😄
Forwarded from -CyberSecurityTechnologies- (-CST-)
Playbook_LLM_Sec.pdf
4.9 MB
#Tech_book
#MLSecOps
"The Developer's Playbook for Large Language Model Security: Building Secure AI Applications", 2024.
#MLSecOps
"The Developer's Playbook for Large Language Model Security: Building Secure AI Applications", 2024.
Я просто не понимаю....это Блиновская? Успешный успех продается, вы будете зарабатывать много денег, но заплатите денег.... что....
Пж обьясните в комментах для кого это, вот миллиард источников открыто, есть нейронки, есть ctf позволяющие попробовать себя и найти единомышленников, есть реально авторитетные курсы и MINDMAP курсов, карьерный трек от позитивов...без негатива к создателям, но что за кринж
https://t.me/c/2417106595/153
https://securitymentor.ru
Пж обьясните в комментах для кого это, вот миллиард источников открыто, есть нейронки, есть ctf позволяющие попробовать себя и найти единомышленников, есть реально авторитетные курсы и MINDMAP курсов, карьерный трек от позитивов...без негатива к создателям, но что за кринж
https://t.me/c/2417106595/153
https://securitymentor.ru
Возможно я ошибаюсь - пишите комменты, но немного хоть аргументированные.
Я помню начинал с юдемай, потом международные курсы и университеты (3 диплома по иб), есть даже СЛИТЫЕ ПЛАТНЫЕ курсы если реально хочется учится бесплатно....
Я помню начинал с юдемай, потом международные курсы и университеты (3 диплома по иб), есть даже СЛИТЫЕ ПЛАТНЫЕ курсы если реально хочется учится бесплатно....
БЕЗ негатива к автору, скорее всего есть спрос для людей которые не хотят ничего делать. Но они никем и не станут скорее всего
Forwarded from НеКасперский
Знакомьтесь
Исследователи обнаружили zero-click уязвимость в iMessage, которая позволяла атаковать iPhone без участия пользователя через банальное обновление никнейма.
Дыра получила название NICKNAME и затрагивала процесс обновления профиля в мессенджере. Злоумышленник мог отправить серию никнейм-апдейтов, вызывая состояние гонки и краш процесса imagent. В результате появлялась возможность выполнить произвольный код на устройстве жертвы.
iVerify утверждает, что под удар попали высокопоставленные лица из США и Евросоюза — политики, журналисты, топ-менеджеры IT-компаний. Краши составляли менее 0,001% от всех зафиксированных сбоев, но почему-то «случайно» происходили именно на смартфонах этих людей.
Apple закрыла брешь в iOS 18.3.1, но категорически отрицает факт целевых атак. Купертиновцы называют находку «обычным багом».
НеКасперский
Исследователи обнаружили zero-click уязвимость в iMessage, которая позволяла атаковать iPhone без участия пользователя через банальное обновление никнейма.
Дыра получила название NICKNAME и затрагивала процесс обновления профиля в мессенджере. Злоумышленник мог отправить серию никнейм-апдейтов, вызывая состояние гонки и краш процесса imagent. В результате появлялась возможность выполнить произвольный код на устройстве жертвы.
iVerify утверждает, что под удар попали высокопоставленные лица из США и Евросоюза — политики, журналисты, топ-менеджеры IT-компаний. Краши составляли менее 0,001% от всех зафиксированных сбоев, но почему-то «случайно» происходили именно на смартфонах этих людей.
Apple закрыла брешь в iOS 18.3.1, но категорически отрицает факт целевых атак. Купертиновцы называют находку «обычным багом».
НеКасперский
Forwarded from Russian OSINT
Please open Telegram to view this post
VIEW IN TELEGRAM
A Comprehensive Guide to AI Security for CISOs: Challenges, Strategies, and Measuring Success
https://bigid.com/blog/a-ciso-guide-to-ai-security/
https://bigid.com/blog/a-ciso-guide-to-ai-security/
BigID
A CISO’s Guide to AI Security
A Comprehensive Guide to AI Security for CISOs: Challenges, Strategies, and Measuring Success As Chief Information Security Officers (CISOs), the responsibility to safeguard an enterprise’s sensitive data grows …