😈 OSINT фреймворк для Github

В этой статье рассмотрим OSINT - фреймворк с Github для аналитики пользователей и организаций.

➖ https://telegra.ph/OSINT-frejmvork-dlya-Github-12-17

#tools | 💀 Этичный хакер

😈 Раскрытие электронной почты и захват аккаунта в Facebook

Анализ конечных точек в APK файлах, изучение логики работы и передаваемых в запросе параметров, а также брутфорс OTP, приводящие к захвату аккаунта с помощью функции восстановления пароля по звонку.

➖ https://telegra.ph/Raskrytie-ehlektronnoj-pochty-i-zahvat-akkaunta-v-Facebook-04-30

#Web #ATO

😈 Shodan и Censys: поиск скрытых деталей в Интернете

Поиск Shodan и Censys позволяет найти любые уязвимые устройства в Интернете. Это может быть частью вашего теста на проникновение, чтобы упростить поиск новых вещей в Интернете.

➖ https://telegra.ph/Shodan-i-Censys-poisk-skrytyh-detalej-v-Internete-03-06

#OSINT

😈 Как обнаружить и парировать компьютерные backdoor-атаки на нейронные сети

В рамках доклада будут представлены подходы к обнаружению и нейтрализации последствий компьютерных атак с внедрением закладок в нейросетевые модели, основанные на выявлении закладки и возможных триггеров.

Слушатели смогут оценить эффективность применения обрезки нейронов и отмены обучения нейронной сети, разработанной с помощью фреймворка TensorFlow.

#guide | 💀 Этичный хакер

😈 История о том, как взять под контроль более 450 поддоменов французской электрокомпании EDF

Брошенные домены, несогласованность и ошибки при настройке CNAME, а также полный игнор от компании и тихое устранение уязвимости.

➖ https://telegra.ph/Istoriya-o-tom-kak-vzyat-pod-kontrol-bolee-450-poddomenov-francuzskoj-ehlektrokompanii-EDF-05-06

#Web #STO #Tools

😈 Переходим от SSRF к RCE

Статья рассказывает о том, как с помощью SSRF можно получить учетные данные экземпляра Amazon EC2 и использовать их для выполнения произвольного кода на сервере.

➖ https://telegra.ph/Perehodim-ot-SSRF-k-RCE-05-07

#Web #SSRF #RCE

😈 SQL-инъекция через остановку перенаправления на страницу входа

Обзор отчета, в котором сервер компании Razer пострадал от обхода авторизации в странице администратора и SQL-инъекции. Это позволило получить доступ к игровым ключам из раздач, почтовым перепискам, данным пользователей и т.д.

➖ https://telegra.ph/SQL-inekciya-cherez-ostanovku-perenapravleniya-na-stranicu-vhoda-05-08

#Web #SQLi

😈 Поиск уязвимостей в функции сброса пароля

В статье рассказано об основных способах реализации функций сброса пароля, а также возможных вариантах эксплуатации данных функций. В качестве примеров данных уязвимостей приведены отчеты с hackerone.

➖ https://telegra.ph/Poisk-uyazvimostej-v-funkcii-sbrosa-parolya-12-21

#bypass | 💀 Этичный хакер

😈 История кражи переписки и контактов в iOS-приложениях mail.ru и myMail через XSS

В статье рассмотрим отличный пример того, как можно произвести XSS, разместив полезную нагрузку в файле, и к чему такая атака может привести.

➖ https://telegra.ph/Istoriya-krazhi-perepiski-i-kontaktov-v-iOS-prilozheniyah-mailru-i-myMail-cherez-XSS-05-10

#XSS #iOS

⌨️ Отсутствие проверки сессии при смене почты

Если на сайте есть возможность сменить (или добавить) адрес электронной почты, то вот один из способов проверки данного функционала.

Вам нужно создать две учетные записи на сайте. Назовем их [email protected] и [email protected], предполагая, что это соответсвенно жертва и злоумышленник.

Теперь перейдем в учетную запись злоумышленника и изменим почту на [email protected], после чего ссылка для подтверждения будет отправлена на [email protected].

Копируем эту ссылку, заходим в аккаунт жертвы [email protected] и переходим по скопированной ссылке. Если адрес электронной почты жертвы будет обновлен до [email protected], то мы нашли уязвимость.

Это произошло потому, что отсутствует проверка сессии пользователя и кто бы ни нажал на эту ссылку для проверки, его/ее учетная запись будет обновлена и привязана к новой почте.

Таким образом, злоумышленник может скинуть жертве ссылку и если жертва перейдёт по ней, то злоумышленник захватит её аккаунт.

#Web #Logic

😈 Тестирование безопасности API: кейсы, инструменты и рекомендации

При анализе защищенности API приложений почти всегда находят кучу уязвимостей.

На примере реальных проектов за последние несколько лет спикер Рамазан Рамазанов расскажет, как ломают API, какие недостатки чаще всего встречаются и как сделать API безопаснее.

#video #API

😈 TestOps. Построение процесса тестирования на примере Azure DevOps

Принципы TestOps могут быть использованы на любой платформе. В докладе в качестве примера взят Azure DevOps — это комплексное решение по разработке программного обеспечения, объединяющее в себе планирование работ, систему управления версиями, сборку, CI/CD, баг-трекинг, TCMS, запуск тестов и многое другое. На его примере Александр рассмотрит, как можно автоматически построить TestOps во множестве команд и уходить в отпуск с уверенностью, что все процессы работают без вас.

#video

👾 Крупнейшие фишинг мошенничества всех времен

В этой статье расскажем о самых крупнейших корпоративных фишинг атак.

➖ https://telegra.ph/Krupnejshie-fishing-moshennichestva-vseh-vremen-10-06

#less | 🧑‍💻 Этичный хакер

😈 Как мы автотестируем VK Звонки

С начала пандемии и бума онлайн-конференций решения для видеозвонков VK тоже сильно эволюционировали: появились новые функции, увеличилось количество участников с восьми до бесконечности, стали поддерживаться разные платформы.

Спикер Михаил Шваркунов расскажет, с чего начиналась автоматизация тестирования десктоп-клиента, какие автоматические проверки в команде делают для контроля качества звонков и как проверяют клиентский перформанс.

#video #WPA

👾 HTTP - флуд атака

В этой статье, мы обсудим одну из наиболее распространенных форм кибератаки, то есть HTTP-флуд, который используется злоумышленниками для нарушения конфиденциальности пользователей.

➖ https://telegra.ph/HTTP---flud-ataka-10-03

#less #HTTP | 🏖 Этичный хакер

😈 Анализ защищенности Windows-приложений

В докладе спикер Василий Буров познакомит вас с некоторыми методами тестирования на проникновение и их применением для анализа защищенности Windows-приложений, что позволит не допустить превращения разрабатываемых вами приложений в оружие злоумышленника.

#video #Windows

👾 Типы шифрования беспроводной безопасности

В этой статье расскажем о типах шифрования беспроводных сетей.

➖ https://telegra.ph/Tipy-shifrovaniya-besprovodnoj-bezopasnosti-10-02

#less #Encryption | 🚗 Этичный хакер

😈 Эффективный поиск XSS-уязвимостей

В докладе Иван Румак расскажет про суть уязвимости, поделится своей методологией поиска, с помощью которой за последний год нашёл 54 XSS-бага в программах поиска уязвимостей: некоторые из них были у таких крупных компаний, как Mail.ru, Yandex, Qiwi и т. д. Он рассмотрит потенциально уязвимые части веб-приложений и покажет, как создать универсальный пейлоад для эффективного поиска XSS. Дополнительно он покажет, какие похожие уязвимости можно поискать в своих веб-приложениях.

#video #XSS

👾 Скрытая атака в беспроводных сетях

В этой статье рассмотрим Bluesnarfing, атака которая используется для извлечения данных с устройства жертвы посредством сопряжения Bluetooth.

➖ https://telegra.ph/Skrytaya-ataka-v-besprovodnyh-setyah-09-29

#less | 🏃‍♂️ Этичный хакер