😈 Многопоточный TOR-прокси на Python

В этой статье рассмотрим инструмент, с помощью которого вы не получите бан по IP если совершите много неверных попыток входа при брутфорсе.

➖ https://telegra.ph/Mnogopotochnyj-TOR-proksi-na-Python-04-21

#Bruteforce #TOR

😈 SQL-инъекция через остановку перенаправления на страницу входа

Обзор отчета, в котором сервер компании Razer пострадал от обхода авторизации в странице администратора и SQL-инъекции. Это позволило получить доступ к игровым ключам из раздач, почтовым перепискам, данным пользователей и т.д.

➖ https://telegra.ph/SQL-inekciya-cherez-ostanovku-perenapravleniya-na-stranicu-vhoda-03-01

#SQL #Injection #Web

😈 Мониторинг метрик и событий Docker

В этой статье расскажем о важности мониторинга контейнеров Docker.

➖ https://telegra.ph/Monitoring-metrik-i-sobytij-Docker-04-23

#Docker | 💀 Этичный хакер

😈 Подборка браузерных расширений для Bug Bounty и пентеста

Некоторые расширения для браузера, которые помогают находить ошибки безопасности во время просмотра страницы.

➖ https://telegra.ph/Podborka-brauzernyh-rasshirenij-dlya-Bug-Bounty-i-pentesta-04-25

#Web #Extensions #BugBounty | 💀 Этичный хакер

😈 Что такое WSDL-атака?

В этой статье рассмотрим тип атак за счёт использования языка описания служб (WSDL), который используется для предоставления доступа к интерфейсам систем.

➖ https://telegra.ph/CHto-takoe-WSDL-ataka-04-26

#WSDL | 💀 Этичный хакер

😈 Эксплуатация SQL-инъекции в токене авторизации

В данной статье вы увидите пример уязвимости из за забытой валидации закодированных значений и последующую эксплуатацию SQL инъекцию в токене авторизации.

➖ https://telegra.ph/EHkspluataciya-SQL-inekcii-v-tokene-avtorizacii-12-11

#Injection #SQL | 💀 Этичный хакер

😈 OSINT фреймворк для Github

В этой статье рассмотрим OSINT - фреймворк с Github для аналитики пользователей и организаций.

➖ https://telegra.ph/OSINT-frejmvork-dlya-Github-12-17

#tools | 💀 Этичный хакер

😈 Раскрытие электронной почты и захват аккаунта в Facebook

Анализ конечных точек в APK файлах, изучение логики работы и передаваемых в запросе параметров, а также брутфорс OTP, приводящие к захвату аккаунта с помощью функции восстановления пароля по звонку.

➖ https://telegra.ph/Raskrytie-ehlektronnoj-pochty-i-zahvat-akkaunta-v-Facebook-04-30

#Web #ATO

😈 Shodan и Censys: поиск скрытых деталей в Интернете

Поиск Shodan и Censys позволяет найти любые уязвимые устройства в Интернете. Это может быть частью вашего теста на проникновение, чтобы упростить поиск новых вещей в Интернете.

➖ https://telegra.ph/Shodan-i-Censys-poisk-skrytyh-detalej-v-Internete-03-06

#OSINT

😈 Как обнаружить и парировать компьютерные backdoor-атаки на нейронные сети

В рамках доклада будут представлены подходы к обнаружению и нейтрализации последствий компьютерных атак с внедрением закладок в нейросетевые модели, основанные на выявлении закладки и возможных триггеров.

Слушатели смогут оценить эффективность применения обрезки нейронов и отмены обучения нейронной сети, разработанной с помощью фреймворка TensorFlow.

#guide | 💀 Этичный хакер

😈 История о том, как взять под контроль более 450 поддоменов французской электрокомпании EDF

Брошенные домены, несогласованность и ошибки при настройке CNAME, а также полный игнор от компании и тихое устранение уязвимости.

➖ https://telegra.ph/Istoriya-o-tom-kak-vzyat-pod-kontrol-bolee-450-poddomenov-francuzskoj-ehlektrokompanii-EDF-05-06

#Web #STO #Tools

😈 Переходим от SSRF к RCE

Статья рассказывает о том, как с помощью SSRF можно получить учетные данные экземпляра Amazon EC2 и использовать их для выполнения произвольного кода на сервере.

➖ https://telegra.ph/Perehodim-ot-SSRF-k-RCE-05-07

#Web #SSRF #RCE

😈 SQL-инъекция через остановку перенаправления на страницу входа

Обзор отчета, в котором сервер компании Razer пострадал от обхода авторизации в странице администратора и SQL-инъекции. Это позволило получить доступ к игровым ключам из раздач, почтовым перепискам, данным пользователей и т.д.

➖ https://telegra.ph/SQL-inekciya-cherez-ostanovku-perenapravleniya-na-stranicu-vhoda-05-08

#Web #SQLi

😈 Поиск уязвимостей в функции сброса пароля

В статье рассказано об основных способах реализации функций сброса пароля, а также возможных вариантах эксплуатации данных функций. В качестве примеров данных уязвимостей приведены отчеты с hackerone.

➖ https://telegra.ph/Poisk-uyazvimostej-v-funkcii-sbrosa-parolya-12-21

#bypass | 💀 Этичный хакер

😈 История кражи переписки и контактов в iOS-приложениях mail.ru и myMail через XSS

В статье рассмотрим отличный пример того, как можно произвести XSS, разместив полезную нагрузку в файле, и к чему такая атака может привести.

➖ https://telegra.ph/Istoriya-krazhi-perepiski-i-kontaktov-v-iOS-prilozheniyah-mailru-i-myMail-cherez-XSS-05-10

#XSS #iOS

⌨️ Отсутствие проверки сессии при смене почты

Если на сайте есть возможность сменить (или добавить) адрес электронной почты, то вот один из способов проверки данного функционала.

Вам нужно создать две учетные записи на сайте. Назовем их [email protected] и [email protected], предполагая, что это соответсвенно жертва и злоумышленник.

Теперь перейдем в учетную запись злоумышленника и изменим почту на [email protected], после чего ссылка для подтверждения будет отправлена на [email protected].

Копируем эту ссылку, заходим в аккаунт жертвы [email protected] и переходим по скопированной ссылке. Если адрес электронной почты жертвы будет обновлен до [email protected], то мы нашли уязвимость.

Это произошло потому, что отсутствует проверка сессии пользователя и кто бы ни нажал на эту ссылку для проверки, его/ее учетная запись будет обновлена и привязана к новой почте.

Таким образом, злоумышленник может скинуть жертве ссылку и если жертва перейдёт по ней, то злоумышленник захватит её аккаунт.

#Web #Logic

😈 Тестирование безопасности API: кейсы, инструменты и рекомендации

При анализе защищенности API приложений почти всегда находят кучу уязвимостей.

На примере реальных проектов за последние несколько лет спикер Рамазан Рамазанов расскажет, как ломают API, какие недостатки чаще всего встречаются и как сделать API безопаснее.

#video #API

😈 TestOps. Построение процесса тестирования на примере Azure DevOps

Принципы TestOps могут быть использованы на любой платформе. В докладе в качестве примера взят Azure DevOps — это комплексное решение по разработке программного обеспечения, объединяющее в себе планирование работ, систему управления версиями, сборку, CI/CD, баг-трекинг, TCMS, запуск тестов и многое другое. На его примере Александр рассмотрит, как можно автоматически построить TestOps во множестве команд и уходить в отпуск с уверенностью, что все процессы работают без вас.

#video

👾 Крупнейшие фишинг мошенничества всех времен

В этой статье расскажем о самых крупнейших корпоративных фишинг атак.

➖ https://telegra.ph/Krupnejshie-fishing-moshennichestva-vseh-vremen-10-06

#less | 🧑‍💻 Этичный хакер