Google и Microsoft могут получить ваши пароли через проверку орфографии веб-браузера
Расширенные функции проверки орфографии в веб-браузерах Google Chrome и Microsoft Edge передают данные формы, включая личную информацию (PII) и, в некоторых случаях, пароли, в Google и Microsoft соответственно.
Хотя это может быть известной и предполагаемой функцией этих веб-браузеров, она вызывает опасения по поводу того, что происходит с данными после передачи и насколько безопасной может быть практика, особенно когда речь идет о полях пароля.
И Chrome, и Edge поставляются с включенными базовыми средствами проверки орфографии. Но такие функции, как расширенная проверка орфографии Chrome или Microsoft Editor, когда пользователь включает их вручную, представляют потенциальную угрозу конфиденциальности.
https://shly.link/PvRqz
Расширенные функции проверки орфографии в веб-браузерах Google Chrome и Microsoft Edge передают данные формы, включая личную информацию (PII) и, в некоторых случаях, пароли, в Google и Microsoft соответственно.
Хотя это может быть известной и предполагаемой функцией этих веб-браузеров, она вызывает опасения по поводу того, что происходит с данными после передачи и насколько безопасной может быть практика, особенно когда речь идет о полях пароля.
И Chrome, и Edge поставляются с включенными базовыми средствами проверки орфографии. Но такие функции, как расширенная проверка орфографии Chrome или Microsoft Editor, когда пользователь включает их вручную, представляют потенциальную угрозу конфиденциальности.
https://shly.link/PvRqz
BleepingComputer
Google, Microsoft can get your passwords via web browser's spellcheck
Enhanced Spellcheck features in Google Chrome and Microsoft Edge web browsers transmit form data, including personally identifiable information (PII) and in some cases, passwords, to Google and Microsoft respectively.
Анонимный подбор имен пользователей Active Directory с контроллеров домена путем злоупотребления запросами LDAP Ping (cLDAP).
https://shly.link/ghP4zA
https://shly.link/ghP4zA
GitHub
GitHub - lkarlslund/ldapnomnom: Anonymously bruteforce Active Directory usernames from Domain Controllers by abusing LDAP Ping…
Anonymously bruteforce Active Directory usernames from Domain Controllers by abusing LDAP Ping requests (cLDAP) - GitHub - lkarlslund/ldapnomnom: Anonymously bruteforce Active Directory usernames f...
Как найти уязвимости SQL-инъекций в 2022 году?
____
Внедрение SQL (также известное как внедрение языка структурированных запросов) — одна из самых популярных и серьезных уязвимостей.
Это одна из самых распространенных и опасных уязвимостей в Интернете.
Это вредоносный код, который можно использовать для обхода функций безопасности операционных систем.
Эта функциональность дает злоумышленникам максимальную свободу в создании и манипулировании остальной структурой и содержимым веб-сайта, позволяя им получить полный контроль над ним.
Плохая сторона SQL-инъекции заключается в том, что ее трудно обнаружить и остановить во время ее использования.
Обнаружение уязвимости SQL Injection может быть ужасающим, поскольку позволяет злоумышленнику получить прямой доступ и потенциально скомпрометировать базовые данные на вашем сайте.
В этой статье я покажу вам, что такое внедрение SQL и как его найти.
https://shly.link/tQRRB
____
Внедрение SQL (также известное как внедрение языка структурированных запросов) — одна из самых популярных и серьезных уязвимостей.
Это одна из самых распространенных и опасных уязвимостей в Интернете.
Это вредоносный код, который можно использовать для обхода функций безопасности операционных систем.
Эта функциональность дает злоумышленникам максимальную свободу в создании и манипулировании остальной структурой и содержимым веб-сайта, позволяя им получить полный контроль над ним.
Плохая сторона SQL-инъекции заключается в том, что ее трудно обнаружить и остановить во время ее использования.
Обнаружение уязвимости SQL Injection может быть ужасающим, поскольку позволяет злоумышленнику получить прямой доступ и потенциально скомпрометировать базовые данные на вашем сайте.
В этой статье я покажу вам, что такое внедрение SQL и как его найти.
https://shly.link/tQRRB
AdGuard выпускает первый в мире блокировщик рекламы на основе Manifest V3
__________
Manifest V3, новый API расширений Chrome, больше не является иллюзорной угрозой. Теперь это новая реальность, в которой десятки расширений для блокировки рекламы, включая расширение для браузера AdGuard, будут ( или не будут ) работать.
https://shly.link/EHBEW
__________
Manifest V3, новый API расширений Chrome, больше не является иллюзорной угрозой. Теперь это новая реальность, в которой десятки расширений для блокировки рекламы, включая расширение для браузера AdGuard, будут ( или не будут ) работать.
https://shly.link/EHBEW
AdGuard Blog
AdGuard publishes the world's first ad blocker built on Manifest V3
We put a lot of effort into developing an experimental browser extension that could meet all the requirements of Manifest V3 (Chrome's new extension API) and block ads properly within its tight confines. Read the article to find out what we went through and…
😎 Об информационной безопасности просто и интересно 😎
Роскомнадзор подсчитал, что только за 2022 год в сеть утекло уже более 40 баз данных с информацией о россиянах.
Что делать, если данные утекли?
Рассказываем об этом на нашем канале по информационной безопасности!
✔️ Вам пишет мошенник: распознаем хитрости обманщика и не поддаёмся
✔️ Как мягко и настойчиво донести до коллег важность ИБ?
✔️ Безопасная разработка и где она обитает: как писать приложения и не боятся за код
✔️ Новости из мира ИБ
✔️ Как прийти в профессию инженера по ИБ и остаться там
А также делимся книгами, сайтами, полезными подборками, которые помогут безопаснику в его деле.
Подписывайтесь, ждем вас: https://t.iss.one/Info_Sec
Роскомнадзор подсчитал, что только за 2022 год в сеть утекло уже более 40 баз данных с информацией о россиянах.
Что делать, если данные утекли?
Рассказываем об этом на нашем канале по информационной безопасности!
✔️ Вам пишет мошенник: распознаем хитрости обманщика и не поддаёмся
✔️ Как мягко и настойчиво донести до коллег важность ИБ?
✔️ Безопасная разработка и где она обитает: как писать приложения и не боятся за код
✔️ Новости из мира ИБ
✔️ Как прийти в профессию инженера по ИБ и остаться там
А также делимся книгами, сайтами, полезными подборками, которые помогут безопаснику в его деле.
Подписывайтесь, ждем вас: https://t.iss.one/Info_Sec
LinWinPwn: — сценарий bash, который автоматизирует ряд проверок перечисления Active Directory и уязвимостей.
https://shly.link/ghahdF
https://shly.link/ghahdF
Инструмент Hydra для атаки грубой силы
Hydra — это предустановленный инструмент в Kali Linux, используемый для перебора имени пользователя и пароля к различным службам, таким как ftp, ssh, telnet, MS-SQL и т. д. Ниже приведен список всех протоколов, поддерживаемых Hydra.
https://shly.link/psthR
Hydra — это предустановленный инструмент в Kali Linux, используемый для перебора имени пользователя и пароля к различным службам, таким как ftp, ssh, telnet, MS-SQL и т. д. Ниже приведен список всех протоколов, поддерживаемых Hydra.
https://shly.link/psthR
Как Google, Microsoft, Lyft, GitLab и Atlassian находят и устраняют уязвимости
Способность вашей организации находить и устранять уязвимости в кодовой базе имеет значительные финансовые последствия, не говоря уже о влиянии на бренд. Большинство компаний вложили средства в инструменты сканирования безопасности, чтобы найти известные уязвимости, но они не помогают быстро их исправить. Они также не помогают смягчить уязвимости нулевого дня.
Загрузите это руководство, чтобы узнать:
Как Google, Microsoft, Lyft, GitLab и Atlassian находят и устраняют уязвимости в соответствующих кодовых базах
Какие возможности необходимы для быстрого устранения известной уязвимости
Как эти компании реагируют на уязвимости нулевого дня
https://about.sourcegraph.com/guides/sg-how-companies-fix-vulnerabilities.pdf
Способность вашей организации находить и устранять уязвимости в кодовой базе имеет значительные финансовые последствия, не говоря уже о влиянии на бренд. Большинство компаний вложили средства в инструменты сканирования безопасности, чтобы найти известные уязвимости, но они не помогают быстро их исправить. Они также не помогают смягчить уязвимости нулевого дня.
Загрузите это руководство, чтобы узнать:
Как Google, Microsoft, Lyft, GitLab и Atlassian находят и устраняют уязвимости в соответствующих кодовых базах
Какие возможности необходимы для быстрого устранения известной уязвимости
Как эти компании реагируют на уязвимости нулевого дня
https://about.sourcegraph.com/guides/sg-how-companies-fix-vulnerabilities.pdf
SQL-инъекция
Введение
Внедрение SQL (SQLI) — это тип атаки путем внедрения, который позволяет выполнять вредоносные команды SQL.
Типы SQL-инъекций:
Внедрение на основе ошибок
Инъекция на основе союза
Слепая SQL-инъекция...
https://shly.link/BDWks
Введение
Внедрение SQL (SQLI) — это тип атаки путем внедрения, который позволяет выполнять вредоносные команды SQL.
Типы SQL-инъекций:
Внедрение на основе ошибок
Инъекция на основе союза
Слепая SQL-инъекция...
https://shly.link/BDWks
Medium
SQL Injection
Introduction
Приглашаем принять участие в масштабном ежегодном IT-соревновании “Лидеры цифровой трансформации”, где тысячи талантливых специалистов создадут сервисы для улучшения жизни горожан.
Что ждет тебя?
📍 Призовой фонд 20 000 000 рублей
📍 10 востребованных городом задач
📍 Подарки от партнеров и эксклюзивный мерч для финалистов
📍 Уникальный опыт, который сможешь отразить в портфолио
📍 Шанс найти будущего работодателя или попасть на стажировку
Принять участие могут все желающие от 18 лет, в составе команд от 2 до 5 человек. Объединяйся с друзьями или организаторы помогут тебе собрать команду для участия.
Приглашаются:
🔹 Front/ back/ fullstack разработчики
🔹 Product и project-менеджеры
🔹 Data scientists, engineers
🔹 Дизайнеры
🔹 Маркетологи
🔹 Аналитики
🔹 IT-предприниматели
⠀
Переходи на сайт и регистрируйся:
🔗 https://clck.ru/328SZT
В Telegram-чате конкурса ты узнаешь подробности и найдешь команду:
🔗 https://t.iss.one/leaders_2022
Что ждет тебя?
📍 Призовой фонд 20 000 000 рублей
📍 10 востребованных городом задач
📍 Подарки от партнеров и эксклюзивный мерч для финалистов
📍 Уникальный опыт, который сможешь отразить в портфолио
📍 Шанс найти будущего работодателя или попасть на стажировку
Принять участие могут все желающие от 18 лет, в составе команд от 2 до 5 человек. Объединяйся с друзьями или организаторы помогут тебе собрать команду для участия.
Приглашаются:
🔹 Front/ back/ fullstack разработчики
🔹 Product и project-менеджеры
🔹 Data scientists, engineers
🔹 Дизайнеры
🔹 Маркетологи
🔹 Аналитики
🔹 IT-предприниматели
⠀
Переходи на сайт и регистрируйся:
🔗 https://clck.ru/328SZT
В Telegram-чате конкурса ты узнаешь подробности и найдешь команду:
🔗 https://t.iss.one/leaders_2022
Кэширование некэшируемых объектов — злоупотребление путаницей синтаксического анализатора URL (метод отравления веб-кэша)
Вот как мне удалось отравить кеш тысяч страниц в Glassdoor с помощью отраженного и сохраненного XSS
https://shly.link/ga6bv
Вот как мне удалось отравить кеш тысяч страниц в Glassdoor с помощью отраженного и сохраненного XSS
https://shly.link/ga6bv
Linux для хакеров — основы для начинающих в сфере кибербезопасности
Время научиться пользоваться операционной системой среднего хакера 🐧.
В этой статье мы совершим небольшой экскурс по:
Операционная система Linux
Управление пакетами
Файловая структура Linux.
Интерфейс командной строки
И вы также узнаете, как обновить свой дистрибутив Linux.
https://shly.link/ov0Qp
Время научиться пользоваться операционной системой среднего хакера 🐧.
В этой статье мы совершим небольшой экскурс по:
Операционная система Linux
Управление пакетами
Файловая структура Linux.
Интерфейс командной строки
И вы также узнаете, как обновить свой дистрибутив Linux.
https://shly.link/ov0Qp
Развенчание мифов о HTTPS
Большинство экспертов по безопасности рекомендуют везде использовать HTTPS. Это, несомненно, хороший совет, который вы должны применить.
Однако это часто вводит в заблуждение большинство пользователей, в том числе технически подкованных.
https://shly.link/devQdmc
Большинство экспертов по безопасности рекомендуют везде использовать HTTPS. Это, несомненно, хороший совет, который вы должны применить.
Однако это часто вводит в заблуждение большинство пользователей, в том числе технически подкованных.
https://shly.link/devQdmc
DEV Community 👩💻👨💻
Debunking myths about HTTPS
Most security experts will recommend using HTTPS everywhere. It's undeniably a good advice you should...
10 основных навыков, необходимых для того, чтобы стать профессионалом в области кибербезопасности в 2022 году
Хотите стать инженером по кибербезопасности в 2022 году? Вот 10 основных навыков, которые вам нужно освоить, чтобы стать экспертом по кибербезопасности в 2022 году.
https://shly.link/NdjHp
Хотите стать инженером по кибербезопасности в 2022 году? Вот 10 основных навыков, которые вам нужно освоить, чтобы стать экспертом по кибербезопасности в 2022 году.
https://shly.link/NdjHp
Скрытые преобразователи DNS и как скомпрометировать вашу инфраструктуру
Анализируя закрытые резолверы DNS в Интернете, мы обнаружили множество интернет-провайдеров и хостинг-провайдеров, уязвимых для тривиальных атак Каминского . Это позволяет злоумышленнику манипулировать разрешением DNS-имен тысяч систем. Как следствие, возможны перенаправления электронной почты, захват учетных записей и даже компрометация целых систем. Закрытые преобразователи DNS по всему миру затронуты.
https://shly.link/FFZeh
Анализируя закрытые резолверы DNS в Интернете, мы обнаружили множество интернет-провайдеров и хостинг-провайдеров, уязвимых для тривиальных атак Каминского . Это позволяет злоумышленнику манипулировать разрешением DNS-имен тысяч систем. Как следствие, возможны перенаправления электронной почты, захват учетных записей и даже компрометация целых систем. Закрытые преобразователи DNS по всему миру затронуты.
https://shly.link/FFZeh
Кураторский список инструментов для реагирования на инциденты
Тщательно подобранный список инструментов и ресурсов для реагирования на инциденты безопасности, предназначенный для помощи аналитикам безопасности и командам DFIR .
https://github.com/meirwah/awesome-incident-response
Тщательно подобранный список инструментов и ресурсов для реагирования на инциденты безопасности, предназначенный для помощи аналитикам безопасности и командам DFIR .
https://github.com/meirwah/awesome-incident-response
GitHub
GitHub - meirwah/awesome-incident-response: A curated list of tools for incident response
A curated list of tools for incident response. Contribute to meirwah/awesome-incident-response development by creating an account on GitHub.
📚Коллекция различных удивительных списков для хакеров, пентестеров и исследователей безопасности
https://shly.link/ghTCQA
📚Кураторский список потрясающих руководств, инструментов и ресурсов по хакерству
https://shly.link/ghJozy
📚Тщательно подобранный список потрясающих курсов и учебных ресурсов по информационной безопасности.
https://shly.link/ghKLKi
📚Кураторский список потрясающих ресурсов Threat Intelligence
https://shly.link/gh4xtr
📚Коллекция отличного программного обеспечения, библиотек, документов, книг, ресурсов и интересных вещей о безопасности.
https://shly.link/gh1XPi
📚Этот список предназначен для всех, кто хочет узнать о безопасности веб-приложений, но не имеет отправной точки.
https://shly.link/ghAay3
📚Коллекция ресурсов, связанных с безопасностью Android.
https://shly.link/ghwhuQ
📚Кураторский список различных инструментов вознаграждения за обнаружение ошибок
https://shly.link/gh1krw
📚Коллекция потрясающих однострочных скриптов, специально предназначенных для подсказок по поиску ошибок.
https://shly.link/ghmmJi
📚Коллекция потрясающих инструментов и ресурсов для обеспечения безопасности API.
https://shly.link/ghhMb
📚Кураторский список восхитительных сценариев и ресурсов Bash.
https://shly.link/ghCVHg
📚Коллекция потрясающих ресурсов, инструментов и других блестящих вещей для тестирования на проникновение.
https://shly.link/ghVLsH
📚Кураторский список ресурсов Awesome Kubernetes Security
https://shly.link/ghTxr7
📚Машинное обучение для кибербезопасности
https://shly.link/ghugii
https://shly.link/ghTCQA
📚Кураторский список потрясающих руководств, инструментов и ресурсов по хакерству
https://shly.link/ghJozy
📚Тщательно подобранный список потрясающих курсов и учебных ресурсов по информационной безопасности.
https://shly.link/ghKLKi
📚Кураторский список потрясающих ресурсов Threat Intelligence
https://shly.link/gh4xtr
📚Коллекция отличного программного обеспечения, библиотек, документов, книг, ресурсов и интересных вещей о безопасности.
https://shly.link/gh1XPi
📚Этот список предназначен для всех, кто хочет узнать о безопасности веб-приложений, но не имеет отправной точки.
https://shly.link/ghAay3
📚Коллекция ресурсов, связанных с безопасностью Android.
https://shly.link/ghwhuQ
📚Кураторский список различных инструментов вознаграждения за обнаружение ошибок
https://shly.link/gh1krw
📚Коллекция потрясающих однострочных скриптов, специально предназначенных для подсказок по поиску ошибок.
https://shly.link/ghmmJi
📚Коллекция потрясающих инструментов и ресурсов для обеспечения безопасности API.
https://shly.link/ghhMb
📚Кураторский список восхитительных сценариев и ресурсов Bash.
https://shly.link/ghCVHg
📚Коллекция потрясающих ресурсов, инструментов и других блестящих вещей для тестирования на проникновение.
https://shly.link/ghVLsH
📚Кураторский список ресурсов Awesome Kubernetes Security
https://shly.link/ghTxr7
📚Машинное обучение для кибербезопасности
https://shly.link/ghugii
GitHub
GitHub - Hack-with-Github/Awesome-Hacking: A collection of various awesome lists for hackers, pentesters and security researchers
A collection of various awesome lists for hackers, pentesters and security researchers - Hack-with-Github/Awesome-Hacking
Как я нашел несколько SQL-инъекций за 5 минут в Bug Bounty
Привет всем, SQL-инъекция — одна из самых критических уязвимостей, которые можно найти в веб-приложениях. Сегодня я покажу вам, как я обнаружил несколько уязвимостей SQL-инъекций во время поиска, поэтому давайте назовем нашу цель target.com.
https://shly.link/kDTTt
Привет всем, SQL-инъекция — одна из самых критических уязвимостей, которые можно найти в веб-приложениях. Сегодня я покажу вам, как я обнаружил несколько уязвимостей SQL-инъекций во время поиска, поэтому давайте назовем нашу цель target.com.
https://shly.link/kDTTt
1. Dehashed—View leaked credentials.
2. SecurityTrails—Extensive DNS data.
3. DorkSearch—Really fast Google dorking.
4. ExploitDB—Archive of various exploits.
5. ZoomEye—Gather information about targets.
6. Pulsedive—Search for threat intelligence.
7. GrayHatWarfare—Search public S3 buckets.
8. PolySwarm—Scan files and URLs for threats.
9. Fofa—Search for various threat intelligence.
10. LeakIX—Search publicly indexed information.
11. DNSDumpster—Search for DNS records quickly.
12. FullHunt—Search and discovery attack surfaces.
13. AlienVault—Extensive threat intelligence feed.
14. ONYPHE—Collects cyber-threat intelligence data.
15. Grep App—Search across a half million git repos.
16. URL Scan—Free service to scan and analyse websites.
17. Vulners—Search vulnerabilities in a large database.
18. WayBackMachine—View content from deleted websites.
19. Shodan—Search for devices connected to the internet.
20. Netlas—Search and monitor internet connected assets.
21. CRT sh—Search for certs that have been logged by CT.
22. Wigle—Database of wireless networks, with statistics.
23. PublicWWW—Marketing and affiliate marketing research.
24. Binary Edge—Scans the internet for threat intelligence.
25. GreyNoise—Search for devices connected to the internet.
26. Hunter—Search for email addresses belonging to a website.
27. Censys—Assessing attack surface for internet connected devices.
28. IntelligenceX—Search Tor, I2P, data leaks, domains, and emails.
29. Packet Storm Security—Browse latest vulnerabilities and exploits.
30. SearchCode—Search 75 billion lines of code from 40 million projects.
Please open Telegram to view this post
VIEW IN TELEGRAM
Сайты, где можно 🔐бесплатно попрактиковаться в кибербезопасности:
- tryhackme.com
- cybrary.it
- hackthebox.com
- portswigger.net
- picoctf.org
- pentesterlab.com
- letsdefend.io
- certifiedsecure.com
- isaca.org
- overthewire.org
- tryhackme.com
- cybrary.it
- hackthebox.com
- portswigger.net
- picoctf.org
- pentesterlab.com
- letsdefend.io
- certifiedsecure.com
- isaca.org
- overthewire.org