Forwarded from Turan Security
7-8-oktyabr kunlari “Kiberxavfsizlik sammiti – Markaziy Yevroosiyo, Cyberkent 3.0” doirasida tashkil qilingan CTF musobaqasida Turan Security kiberxavfsizlik tashkiloti mutaxassislari muvaffaqiyatli qatnashdi.
Jamoamiz a'zolari musobaqaning final bosqichida "Blue team" yo'nalishida 1-o'rin, "Red team" yo'nalishida 2-o'rin va "CTF MASTER" yo'nalishida 3-o'rinni egallashdi.
Bu xabarni tashqaridan o'qigan odamga bu shunchaki yaxshi xabar bo'lib eshitiladi. Lekin, bu natijalar jamoani tinimsiz mehnati va uzoq muddatli tayyorgarligi sababli.
Tadbir tashkilotchilarga o'z minnatdorchiligimizni bildiramiz. Musobaqada qatnashgan jamoalarni va eng asosiysi Turan Security jamoamizni tabriklaymiz.
@TuranSecurity | www.turansec.uz
Jamoamiz a'zolari musobaqaning final bosqichida "Blue team" yo'nalishida 1-o'rin, "Red team" yo'nalishida 2-o'rin va "CTF MASTER" yo'nalishida 3-o'rinni egallashdi.
Bu xabarni tashqaridan o'qigan odamga bu shunchaki yaxshi xabar bo'lib eshitiladi. Lekin, bu natijalar jamoani tinimsiz mehnati va uzoq muddatli tayyorgarligi sababli.
Tadbir tashkilotchilarga o'z minnatdorchiligimizni bildiramiz. Musobaqada qatnashgan jamoalarni va eng asosiysi Turan Security jamoamizni tabriklaymiz.
@TuranSecurity | www.turansec.uz
🔥6❤1❤🔥1🎉1
Forwarded from AppSec Guy
First image is taken at previous Cyberkent 2.0 (2024). Second one is from the last Cyberkent 3.0
This time, my team showed TuranSec's capability to work on multiple complex processes (blue team, red team, etc) at once and make it in perfect quality at the same time.
This is not some PR words, just recap of how team did it.
So, here we are, expanded, learned a lot.
This time, my team showed TuranSec's capability to work on multiple complex processes (blue team, red team, etc) at once and make it in perfect quality at the same time.
This is not some PR words, just recap of how team did it.
So, here we are, expanded, learned a lot.
3🔥4❤3
JavaSec
CVE-2025-23298 Remote Code Execution in NVIDIA Merlin * writeUP + exploit
CVE-2025-23298 — Remote code execution via unsafe Python pickle deserialization in NVIDIA Merlin/Transformers4Rec when torch.load() loads untrusted checkpoint files; avoid loading untrusted checkpoints and prefer weights_only=True or safetensors/restricted deserialization.
❤1🕊1
Slowly but surely - Expert level unlocked 🔓
Har bir kichik qadam — katta natijaga eltadi.
100/100 and good report !
Har bir kichik qadam — katta natijaga eltadi.
100/100 and good report !
11🔥16🤡5❤🔥2👍2❤1🕊1
JavaSec
Slowly but surely - Expert level unlocked 🔓 Har bir kichik qadam — katta natijaga eltadi. 100/100 and good report !
CWEE: o‘zim uchun, siz bilan bo‘lishish uchun yozilgan post
Bu postni maqtanish uchun emas, bir kun o‘zim o‘qib “qayerdan boshlangan edim” deb eslash va balki kimlargadir yo‘l-yo‘riq bo‘lishi uchun yozayapman. Yaqinda Hack The Box Certified Web Exploitation Expert (CWEE) certificati oldim.
Exam’ning practical qismini 5 kunda tugatdim, keyin yana 3 kun faqat report yozishga sarfladim. Oxirida nihoyat “Congratulations” degan email va certificat keldi )
Shu jarayon davomida juda ko‘p narsa o‘rgandim – nafaqat texnik, balki sabr, reja, vaqtni boshqarish. Shu haqda sokin, haligiday “guru” gaplarsiz yozmoqchiman.
⸻
CWEE – mening ko‘zlarim bilan
Official tomoni bilan aytganda, CWEE – advanced / expert darajadagi web exploitation certificati.
Ammo men uchun CWEE:
Bu yerda:
• faqat XSS/SQLi topib qo‘ya qolish emas,
• source code review qilish,
• bir nechta kichik zaiflikni bitta katta impact’li chain’ga aylantirish,
• va eng asosiysi – hammasini tartibli qilib yozib berish talab qilinadi.
Shu tomoni menga yoqdi: exam faqat “flag top” emas, balki “real pentest ishini boshidan oxirigacha bajar” formatiga juda yaqin.
⸻
Nega aynan CWEE?
Uzoq vaqt “faqat exploit qilish” tarafdori bo‘lib yurganman. Lab’lar, CTF’lar, box’lar – flag topaman, bo‘ldi.
Lekin sekin-sekin shuni tushundimki:
• real dunyoda client’ga report bermasang, qilgan ishingning yarmi yo‘q;
• har doim ham black-box emas, ko‘p joyda white-box / source code review so‘rashadi;
• senior / lead darajada ishlash uchun “faqat payload yozish” yetarli emas.
HTB’dagi Senior Web Penetration Tester learning path’ini boshlaganimda CWEE’ni o‘zim uchun “checkpoint” qilib qo‘ygandim. Shu path’ni tugatib, oxirida “ha, mana shu yo‘lni chindan ham bosib o‘tdim” deyish uchun shu examni tanladim.
⸻
Mendan ketgan asosiy saboqlar
Bu exam orqali o‘zimda quyidagilarni aniqroq his qildim:
1️⃣ Sabr va reja
“Yana bitta endpoint, yana bitta directory brute” deb ko‘r-ko‘rona yugurish emas, balki:
• qaysi attack surface ustuvor,
• qayerda code review ko‘proq natija beradi,
• qaysi yo‘l rabbit-hole – shularni oldindan o‘ylash.
2️⃣ Note-taking – hamma narsa
Har bir kichik observatsiya:
• “bu header g‘alati ekan”,
• “bu error bir marta ko‘rindi”,
• “bu joyda strange behavior bor”,
keyin chain qilishda juda kerakli bo‘lib chiqadi.
3️⃣ Reporting – real darajani ko‘rsatadi
Exploit qilish – boshlanishi xolos. Boshqaga tushunarli qilib, biznes tilida, texnik detal bilan tushuntirish – bu boshqa bosqich. CWEE aynan shu tomonni juda yaxshi “siqib” ko‘rsatadi.
4️⃣ “Men hammasini bilaman” degan fikrdan qochish
Exam davomida ham, reportda ham bir necha marta:
“Bunaqa patternni ko‘rganman, lekin yana tekshirib olay,”
deb o‘zimni to‘xtatdim. Shu yondashuv ko‘p xatolardan saqladi.Bir necha marta qayta yozdim albatta yaxshiroq chiqishi uchun
⸻
Yakuniy fikr
CWEE – men uchun “finish line” emas, balki yangi bosqichga kirish uchun kichik checkpoint bo‘ldi. Certificat olingani bilan hech narsa tugamadi, aksincha:
• ko‘proq mas’uliyat,
• ko‘proq o‘rganish majburiyati,
• va o‘rganganlarimni boshqalar bilan bo‘lishish istagi paydo bo‘ldi.
Agar siz ham web security yo‘lida yurgan bo‘lsangiz va bir kun CWEE haqida o‘ylayotgan bo‘lsangiz, shoshilmay, lekin to‘xtamasdan davom eting togri vaqt keladi.
Bu postni maqtanish uchun emas, bir kun o‘zim o‘qib “qayerdan boshlangan edim” deb eslash va balki kimlargadir yo‘l-yo‘riq bo‘lishi uchun yozayapman. Yaqinda Hack The Box Certified Web Exploitation Expert (CWEE) certificati oldim.
Exam’ning practical qismini 5 kunda tugatdim, keyin yana 3 kun faqat report yozishga sarfladim. Oxirida nihoyat “Congratulations” degan email va certificat keldi )
Shu jarayon davomida juda ko‘p narsa o‘rgandim – nafaqat texnik, balki sabr, reja, vaqtni boshqarish. Shu haqda sokin, haligiday “guru” gaplarsiz yozmoqchiman.
⸻
CWEE – mening ko‘zlarim bilan
Official tomoni bilan aytganda, CWEE – advanced / expert darajadagi web exploitation certificati.
Ammo men uchun CWEE:
“Real hayotga yaqin, bir nechta web ilova, code review, murakkab chain’lar va oxirida kattagina report bilan tugaydigan marafon.”
Bu yerda:
• faqat XSS/SQLi topib qo‘ya qolish emas,
• source code review qilish,
• bir nechta kichik zaiflikni bitta katta impact’li chain’ga aylantirish,
• va eng asosiysi – hammasini tartibli qilib yozib berish talab qilinadi.
Shu tomoni menga yoqdi: exam faqat “flag top” emas, balki “real pentest ishini boshidan oxirigacha bajar” formatiga juda yaqin.
⸻
Nega aynan CWEE?
Uzoq vaqt “faqat exploit qilish” tarafdori bo‘lib yurganman. Lab’lar, CTF’lar, box’lar – flag topaman, bo‘ldi.
Lekin sekin-sekin shuni tushundimki:
• real dunyoda client’ga report bermasang, qilgan ishingning yarmi yo‘q;
• har doim ham black-box emas, ko‘p joyda white-box / source code review so‘rashadi;
• senior / lead darajada ishlash uchun “faqat payload yozish” yetarli emas.
HTB’dagi Senior Web Penetration Tester learning path’ini boshlaganimda CWEE’ni o‘zim uchun “checkpoint” qilib qo‘ygandim. Shu path’ni tugatib, oxirida “ha, mana shu yo‘lni chindan ham bosib o‘tdim” deyish uchun shu examni tanladim.
⸻
Mendan ketgan asosiy saboqlar
Bu exam orqali o‘zimda quyidagilarni aniqroq his qildim:
1️⃣ Sabr va reja
“Yana bitta endpoint, yana bitta directory brute” deb ko‘r-ko‘rona yugurish emas, balki:
• qaysi attack surface ustuvor,
• qayerda code review ko‘proq natija beradi,
• qaysi yo‘l rabbit-hole – shularni oldindan o‘ylash.
2️⃣ Note-taking – hamma narsa
Har bir kichik observatsiya:
• “bu header g‘alati ekan”,
• “bu error bir marta ko‘rindi”,
• “bu joyda strange behavior bor”,
keyin chain qilishda juda kerakli bo‘lib chiqadi.
3️⃣ Reporting – real darajani ko‘rsatadi
Exploit qilish – boshlanishi xolos. Boshqaga tushunarli qilib, biznes tilida, texnik detal bilan tushuntirish – bu boshqa bosqich. CWEE aynan shu tomonni juda yaxshi “siqib” ko‘rsatadi.
4️⃣ “Men hammasini bilaman” degan fikrdan qochish
Exam davomida ham, reportda ham bir necha marta:
“Bunaqa patternni ko‘rganman, lekin yana tekshirib olay,”
deb o‘zimni to‘xtatdim. Shu yondashuv ko‘p xatolardan saqladi.Bir necha marta qayta yozdim albatta yaxshiroq chiqishi uchun
⸻
Yakuniy fikr
CWEE – men uchun “finish line” emas, balki yangi bosqichga kirish uchun kichik checkpoint bo‘ldi. Certificat olingani bilan hech narsa tugamadi, aksincha:
• ko‘proq mas’uliyat,
• ko‘proq o‘rganish majburiyati,
• va o‘rganganlarimni boshqalar bilan bo‘lishish istagi paydo bo‘ldi.
Agar siz ham web security yo‘lida yurgan bo‘lsangiz va bir kun CWEE haqida o‘ylayotgan bo‘lsangiz, shoshilmay, lekin to‘xtamasdan davom eting togri vaqt keladi.
🕊4❤3🤝2