Nuclei — это просто☺️
🖥 Обязательный инструмент для всех багхантеров!
Приветствую тебя, уважаемый читатель. В статье изучим nuclei, исследуем его возможности и рассмотрим, как создавать кастомные шаблоны для эффективного тестирования безопасности веб-приложений.
📌 Совет:
Лучше потратьте больше времени на написание хорошего описания для своего теплейта, ведь потом, когда вы вернетесь, будет довольно сложно понять, для чего же это нужно)
Читать дальше
__ _
____ __ _______/ /__ (_)
/ __ \/ / / / ___/ / _ \/ /
/ / / / /_/ / /__/ / __/ /
/_/ /_/\__,_/\___/_/\___/_/
Приветствую тебя, уважаемый читатель. В статье изучим nuclei, исследуем его возможности и рассмотрим, как создавать кастомные шаблоны для эффективного тестирования безопасности веб-приложений.
Лучше потратьте больше времени на написание хорошего описания для своего теплейта, ведь потом, когда вы вернетесь, будет довольно сложно понять, для чего же это нужно)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤2👍2😱1
Forwarded from Багхантер
Багхантер в России. Сегодня серьезные ребята собрались в Москве с одной целью - выпить шампанского. И посетить премию Awillix.
Слева направо
circuit
@chelovek_iz_kemerovo
@r0hack
@SidneyJobChannel
@sapronoff1
@motoluck
Слева направо
circuit
@chelovek_iz_kemerovo
@r0hack
@SidneyJobChannel
@sapronoff1
@motoluck
🔥6
Сходил на первую в России премию для пентестеров Pentest award by Awillix. Куча интересных людей в приятной обстановке. Спасибо Лизе за такую уютную атмосферу)
Помелькал на фотках, послушал крутые байки от яндекса, узнал про существование продажных вафов от бума и просто познакомился с кучей новых людей)
Спасибо всем за приятный вечер)P.S кого забыл, оптишите в лс
@x2a44
@brotherok
@dnevnik_infosec
@ramon93i7
@i_bo0om
@r0hack
@popsa_lizaa
@snovvcrash
@Paul_Axe
@bughunter_circuit
@motoluck
@Acrono
@s0i37_channel
Помелькал на фотках, послушал крутые байки от яндекса, узнал про существование продажных вафов от бума и просто познакомился с кучей новых людей)
Спасибо всем за приятный вечер)
@brotherok
@dnevnik_infosec
@ramon93i7
@i_bo0om
@r0hack
@popsa_lizaa
@snovvcrash
@Paul_Axe
@bughunter_circuit
@motoluck
@Acrono
@s0i37_channel
🔥10❤🔥3❤2🎉1
❤️🔥 200 подписчиков ❤️🔥
Спасибо каждому за подписку, постараюсь и дальше радовать вас интересным чтивом)
P. S.
Сейчас немного процесс затормозиться и контент будет выходить реже (ОГЭ все таки сдаю в этом году), но постараюсь не понижать планку контента, а делать его только лучше)
Спасибо каждому за подписку, постараюсь и дальше радовать вас интересным чтивом)
Сейчас немного процесс затормозиться и контент будет выходить реже (ОГЭ все таки сдаю в этом году), но постараюсь не понижать планку контента, а делать его только лучше)
❤🔥9👍6🥰3❤1
Forwarded from Багхантер
SidneyJob - эксперт в информационной безопасности, ученик 9 класса. В докладе затронет тему безопасности фреймворка Flask, где расскажет о том как одним хитрым методом раскрутить RCE в этой софтине. А еще у него есть канал @SidneyJobChannel
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥15👍2❤1
Forwarded from wr3dmast3r vs pentest
Content-Security-Policy: способ борьбы с уязвимостями межсайтового скриптинга 🔒
Настройка, использование и способы обхода защиты🐈
https://telegra.ph/Content-Security-Policy-10-31
Настройка, использование и способы обхода защиты
https://telegra.ph/Content-Security-Policy-10-31
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Content Security Policy
Что такое CSP? Content-Security-Policy или CSP — это встроенная технология браузера, которая помогает защитить от атак, таких как межсайтовый скриптинг (XSS) . Она перечисляет и описывает пути и источники, из которых браузер может безопасно загружать ресурсы.…
👍7❤4❤🔥2🤔1
С последнего сентябрьского поста прошло довольно много времени, пришла пора исправляться и делать посты в канал🙈
Расскажу немного интересного, что вообще успело произойти за все это время:
🟣 Устроился на работу в Awillix
🟣 Начал понемножку хантить) (не густо, но буду стараться сделать больше)
🟣 Наконец-то дошли руки до статьи по корсу (P.S она скоро должна выйти)
🟣 Сгонял с командой на "VII Кубок CTF России 2023", заняли только 3 место, но для первого раза не плохо)
🟣 Побывал на Standoff Talks и познакомился просто с кучей классных людей)
Расскажу немного интересного, что вообще успело произойти за все это время:
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Just Security
Про практическую кибербезопасность без воды и рекламы.
Авторы — awillix.ru 😼 одна из лучших offensive-компаний в России.
Pentest award — award.awillix.ru
Подкаст — https://www.youtube.com/@awillix_security
Контакт: @popsa_lizaa
Авторы — awillix.ru 😼 одна из лучших offensive-компаний в России.
Pentest award — award.awillix.ru
Подкаст — https://www.youtube.com/@awillix_security
Контакт: @popsa_lizaa
❤13🔥8👍6❤🔥1
Мы с моим другом сделали нашу первую статью для журнала xakep😁
В этой статье мы вспомнили, как работает SOP и CORS, посмотрели на возможные мисконфиги и способы их эксплуатации, провели несколько экспериментов и даже вспомнили, как работают регулярки! Если ты разработчик, старайся не допускать подобных оплошностей, а если пентестер, то помоги в этом разработчику!
🔓 Линк на статью: тык
💬 @SidneyJobChannel
#cors #web
В этой статье мы вспомнили, как работает SOP и CORS, посмотрели на возможные мисконфиги и способы их эксплуатации, провели несколько экспериментов и даже вспомнили, как работают регулярки! Если ты разработчик, старайся не допускать подобных оплошностей, а если пентестер, то помоги в этом разработчику!
#cors #web
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍12🔥5
На выходных посмотрел наш подкастик с Пашей Топорковым @Paul_Axe. Подкастик получился ну ооочень крутой, всем советую)
YouTube
Подкаст Just Security by Awillix #3. Путь исследователя.
Путь исследователя на примере Павла Топоркова (Paul Axe) — независимый исследователь, докладчик на международных конференциях, участник одной из сильнейших мировых команд CTF, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis,…
👍9❤3❤🔥2🔥1
Forwarded from Young Researchers Reward Program
Наши друзья из Positive Technologies предоставили нам 6 проходок на PhD для проведения благотворительного конкурса. Читаем инфу ниже!
Вы пишете обезличенный отчет, в котором рассказываете о своей самой интересной баге, отправляете отчет в бота. Позже команда жюри оценит его, а уже 17 мая мы свяжемся с участниками и отдадим их заслуженные призы).
Жюри выберет топ 6 участников для полноценной или частичной компенсации билетов на PositiveHackDays и обратно!
1. Являться школьником/студентом бакалавриата или специалитета
2. Отправить файл формата
.docx или .pdf с описанием бага в нашего бота (В описании к файлу должно содежаться слово Заявка)6го мая в 15:00 - Старт приема заявок
13 мая 15:00 - Закрытие приема заявок
17 мая 17:00 Оглашение результатов
1. Подробность описания (3 балла)
2. Сложность эксплуатации (2 балла)
3. Нестандартный подход и креативность (3 балла)
4. Вау-эффект (субъективный параметр на усмотрение членов жюри) (2 балла)
@SidneyJob (Пентестер, автор канала Заметочки SidneyJob)
@curiv (Пентестер, активист ИБ сообщества, основатель @dc7342, @permctf, автор канала @pathsecure)
@cyrus_0x00 (Пентестер в компании DeteAct
@brotherok (Багхантер, автора канала ШКИБыть)
@bughunter_circuit (Автор канала о багхантинге)
<конечный список жюри уточняется>
Бюджет на оплату дороги для всех участников - 120 тысяч. Мы тратим весь планируемый бюджет, в том числе, в счет компенсации оплаты дороги друим победителям.
📃 Что будет с отчетами?
Планируется опубликовать отчеты победителей (при согласии автора)
👉 Важная деталь: Жюри и бюджет формируется независимыми инициативными участниками русскоязычного ИБ сообщества. Конкурс следует воспринимать как благотворительность в отношении перспективных молодых талантов. Мы убеждены, что за такими специалистами находится будущее ИБ сообщества.
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Positive Technologies
Уже более 20 лет наша основная задача — предотвращать хакерские атаки до того, как они причинят неприемлемый ущерб бизнесу и целым отраслям.
Регистрация в перечне РКН: https://knd.gov.ru/license?id=673b47eab7aeb106ceff4f97®istryType=bloggersPermission
Регистрация в перечне РКН: https://knd.gov.ru/license?id=673b47eab7aeb106ceff4f97®istryType=bloggersPermission
🔥10❤2🐳1
Forwarded from Young Researchers Reward Program
С нетерпеньем ждем ваши заявки в нашем боте!
Конкурс продлится до 15:00 13 мая, а уже 17го мая мы огласим список победителей!
1. Подробность описания (3 балла)
2. Сложность эксплуатации (2 балла)
3. Нестандартный подход и креативность (3 балла)
4. Вау-эффект (субъективный параметр на усмотрение членов жюри) (2 балла)
Помимо полноценной или частичной компенсации билетов на PositiveHackDays, один из членов жюри предоставит каждому победителю ключик в его VIP канал, где выходят подробные объяснения репортов простым языком
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Багхантер
🌏 Канал о багхантинге от багхантера.
Реклама - https://t.iss.one/bughunter_circuit/702
Чат канала - @bugbounty_chat
Standoff - standoff365.com/profile/circuit
Реклама - https://t.iss.one/bughunter_circuit/702
Чат канала - @bugbounty_chat
Standoff - standoff365.com/profile/circuit
❤🔥6👍3🔥3🐳1
Forwarded from Young Researchers Reward Program
Всем привет!
До окончания конкурса остается несколько дней. Организаторский состав принял решение расширить критерии оценки. ❗️
Теперь вы можете отправлять в бота не только описание интересных багов с багбаунти, но и интересные реализованные векторы на CTF и собственные ресерчи во всех направлениях ИБ 🔥
К нам уже поступило несколько заявок, но мы очень хотим, чтобы и другие молодые таланты получили билеты на PHDays и компенсацию стоимости дороги в обе стороны. ❤️
Если у вас уже есть билет, то мы аналогичным образом компенсируем дорогу.
Поэтому не откладывайте и присылайте свои материалы в бота: @yrrp_bot
До окончания конкурса остается несколько дней. Организаторский состав принял решение расширить критерии оценки. ❗️
Теперь вы можете отправлять в бота не только описание интересных багов с багбаунти, но и интересные реализованные векторы на CTF и собственные ресерчи во всех направлениях ИБ 🔥
К нам уже поступило несколько заявок, но мы очень хотим, чтобы и другие молодые таланты получили билеты на PHDays и компенсацию стоимости дороги в обе стороны. ❤️
Если у вас уже есть билет, то мы аналогичным образом компенсируем дорогу.
Поэтому не откладывайте и присылайте свои материалы в бота: @yrrp_bot
❤3👍2🔥1🐳1
Forwarded from Очерк
Друзья, рад поделиться приятной новостью!
Я разыгрываю 4 билета на OFFZONE 2024!🎫 🔥
Как участвовать:
Два билета будут разыграны среди всех подписчиков этого канала. Просто будьте подписаны, и вы автоматически участвуете!✍️
Два билета достанутся владельцам каналов, которые сделают репост этого сообщения в свои активные каналы. Плюс, вы получите мой искренний респект!🔝
И нет, я не инфоцыган😂
Я разыгрываю 4 билета на OFFZONE 2024!
Как участвовать:
Два билета будут разыграны среди всех подписчиков этого канала. Просто будьте подписаны, и вы автоматически участвуете!
Два билета достанутся владельцам каналов, которые сделают репост этого сообщения в свои активные каналы. Плюс, вы получите мой искренний респект!
И нет, я не инфоцыган
Please open Telegram to view this post
VIEW IN TELEGRAM
👍13❤3🔥2😁1🐳1
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥33❤🔥7👍7❤3🥰1🐳1
Forwarded from wr3dmast3r vs pentest
Рад представить вашему вниманию небольшой материал по теме безопасности фронтенда. В данном сборнике упомянуты многие темы, связанные с клиентскими атаками. Показаны примеры из Bug Bounty по ходу изучения и разобраны способы защиты от многих Client-Side уязвимостей 😊 😉
Например, вы подробнее познакомитесь с тем, как работают Same-Site, Cross-Site, Cross-Origin, Prototype Pollution, DOM Clobbering, CSS Injection, XSLeaks, а также узнаете о многих видах XSS. Вы также узнаете, как можно комбинировать уязвимости друг с другом, и поймете, почему клиентские уязвимости остаются актуальными по сей день😘
Подробнее
Например, вы подробнее познакомитесь с тем, как работают Same-Site, Cross-Site, Cross-Origin, Prototype Pollution, DOM Clobbering, CSS Injection, XSLeaks, а также узнаете о многих видах XSS. Вы также узнаете, как можно комбинировать уязвимости друг с другом, и поймете, почему клиентские уязвимости остаются актуальными по сей день
Подробнее
Please open Telegram to view this post
VIEW IN TELEGRAM
👍17❤8🐳6🔥5
Под конец года решил сделать себе небольшой подарочек и, наконец-то, войти в топ-25 на платформе Standoff Bug Bounty🥹 Поэтому со многими пересечемся 13го декабря в офисе PT
Немного статистики) На данный момент я сдал 43 отчета, которые были полностью обработаны вендорами(и еще 2 сейчас находятся в работе), из их - 31 приняты, 3 информатива, 7 дубликатов и 2 отклоненных(мутное прошлое) Пока что всего лишь 40к очков и 23е место, но дальше - больше))
Всем удачи, с наступающим Новым годом!)
Please open Telegram to view this post
VIEW IN TELEGRAM
🐳40
Forwarded from Очерк
Друзья, привет!
Хочу поделиться крутой новостью. Последний год мы работали над проектом, который, надеюсь, будет реально полезен для всего нашего комьюнити.
Запускаем @hackadvisor — платформу, где мы собрали информацию по популярным площадкам и публичным багбаунти-программам https://hackadvisor.io. Теперь каждый может поделиться своим опытом, оставить честный отзыв — будь то позитивный или негативный — и формировать независимый рейтинг на основе этих отзывов. Надеюсь, это станет толчком для компаний быть более честными и прозрачными по отношению к хакерам. Так у комьюнити будет больше понимания, какие программы адекватные, а к каким стоит присмотреться повнимательнее.
Мы также добавили возможность верификации для компаний. Это значит, что они смогут публично отвечать на отзывы, комментировать ситуации и показывать своё реальное отношение к багхантерам и безопасности в целом. Верим, что это важный шаг к открытому и честному диалогу между хакерами и компаниями.
Важно: любой хакер может оставить свой отзыв анонимно, просто указав случайный никнейм при регистрации. При этом, чтобы избежать накруток и буллинга программ, мы внедрили верификацию. Хакеру нужно будет подтвердить, что у него действительно есть учётная запись на выбранной площадке или в программе, о которой он оставляет отзыв. Хочу отдельно отметить, что эти данные остаются скрытыми и нигде не публикуются — анонимность и приватность для нас в приоритете.
И, конечно, не могу не сказать про людей, без которых этого всего бы не случилось.
Кто помогал на разных этапах — от идеи до запуска: @aosmanov @r0hack @kuduzow @bikmetle @murphyrol @lincode_x. Спасибо вам за поддержку и вклад в этот проект!
Конечно, в мире нет идеальных вещей, и мы прекрасно это понимаем. Поэтому будем активно дорабатывать платформу, внедрять новые возможности и прислушиваться к потребностям комьюнити. Ваша обратная связь и идеи помогут сделать Hackadvisor ещё полезнее для всех.
Будем рады вашей поддержке, обратной связи и, конечно, отзывам на самой платформе. Заходите, тестируйте, делитесь с друзьями — давайте вместе сделаем нашу сферу лучше!
Хочу поделиться крутой новостью. Последний год мы работали над проектом, который, надеюсь, будет реально полезен для всего нашего комьюнити.
Запускаем @hackadvisor — платформу, где мы собрали информацию по популярным площадкам и публичным багбаунти-программам https://hackadvisor.io. Теперь каждый может поделиться своим опытом, оставить честный отзыв — будь то позитивный или негативный — и формировать независимый рейтинг на основе этих отзывов. Надеюсь, это станет толчком для компаний быть более честными и прозрачными по отношению к хакерам. Так у комьюнити будет больше понимания, какие программы адекватные, а к каким стоит присмотреться повнимательнее.
Мы также добавили возможность верификации для компаний. Это значит, что они смогут публично отвечать на отзывы, комментировать ситуации и показывать своё реальное отношение к багхантерам и безопасности в целом. Верим, что это важный шаг к открытому и честному диалогу между хакерами и компаниями.
Важно: любой хакер может оставить свой отзыв анонимно, просто указав случайный никнейм при регистрации. При этом, чтобы избежать накруток и буллинга программ, мы внедрили верификацию. Хакеру нужно будет подтвердить, что у него действительно есть учётная запись на выбранной площадке или в программе, о которой он оставляет отзыв. Хочу отдельно отметить, что эти данные остаются скрытыми и нигде не публикуются — анонимность и приватность для нас в приоритете.
И, конечно, не могу не сказать про людей, без которых этого всего бы не случилось.
Кто помогал на разных этапах — от идеи до запуска: @aosmanov @r0hack @kuduzow @bikmetle @murphyrol @lincode_x. Спасибо вам за поддержку и вклад в этот проект!
Конечно, в мире нет идеальных вещей, и мы прекрасно это понимаем. Поэтому будем активно дорабатывать платформу, внедрять новые возможности и прислушиваться к потребностям комьюнити. Ваша обратная связь и идеи помогут сделать Hackadvisor ещё полезнее для всех.
Будем рады вашей поддержке, обратной связи и, конечно, отзывам на самой платформе. Заходите, тестируйте, делитесь с друзьями — давайте вместе сделаем нашу сферу лучше!
1🐳17