#writeup #pentest #bugbounty
Разбираем интересный случай SQL-инъекции, найти которую удалось через перебор поддоменов: https://proglib.io/w/4a303464
Разбираем интересный случай SQL-инъекции, найти которую удалось через перебор поддоменов: https://proglib.io/w/4a303464
Medium
Interesting case of SQLi
Hey everyone, didn’t get time this year to blog about my findings. But this one, I found around 2–3 months back, it was an interesting case…
#news #bugbounty #pentest
Релизнулся OWASP Web Security Testing Guide v4.2. Про OWASP уже было много сказано, но данное руководство ещё не освещалась.
Новая версия представляет актуальные сценарии тестирования, обновляет существующие главы, а полезную информацию для себя найдут как веб-разработчики, так и ИБ-специалисты.
https://proglib.io/w/e78d4121
Релизнулся OWASP Web Security Testing Guide v4.2. Про OWASP уже было много сказано, но данное руководство ещё не освещалась.
Новая версия представляет актуальные сценарии тестирования, обновляет существующие главы, а полезную информацию для себя найдут как веб-разработчики, так и ИБ-специалисты.
https://proglib.io/w/e78d4121
owasp.org
WSTG - v4.2 | OWASP
WSTG - v4.2 on the main website for The OWASP Foundation. OWASP is a nonprofit foundation that works to improve the security of software.
#bugbounty #pentest
$ 10000 за уязвимость SSRF в рамках Bug Bounty программы Facebook
Перебор поддоменов, брутфорс файлов и обход ограничений — вот те самые составляющие рутинного поиска уязвимостей, в частности уязвимости SSRF.
https://proglib.io/w/c9c48767
$ 10000 за уязвимость SSRF в рамках Bug Bounty программы Facebook
Перебор поддоменов, брутфорс файлов и обход ограничений — вот те самые составляющие рутинного поиска уязвимостей, в частности уязвимости SSRF.
https://proglib.io/w/c9c48767
#pentest #web #security
Рекомендации по безопасности API, которые будут полезны как разработчикам, так и исследователям безопасности.
https://proglib.io/w/981548ae
Рекомендации по безопасности API, которые будут полезны как разработчикам, так и исследователям безопасности.
https://proglib.io/w/981548ae
DEV Community
API Security Best Practices
By nature, APIs are meant to be used. Even if all of your users are internal, security problems can s...
#web #security #cheatsheet
Шпаргалка по лучшим практикам безопасности для React-разработчиков вдогонку к этому посту
Можно ознакомиться с данными материалами подробнее или перейти к не менее интересной статье про типовые ошибки в сфере безопасности, о которых должен знать каждый React-разработчик.
Шпаргалка по лучшим практикам безопасности для React-разработчиков вдогонку к этому посту
Можно ознакомиться с данными материалами подробнее или перейти к не менее интересной статье про типовые ошибки в сфере безопасности, о которых должен знать каждый React-разработчик.
Если вы работаете или планируете работать с Azure, слушайте внимательно. 14 и 15 декабря Microsoft проводит обучающий курс для ИТ-специалистов, менеджеров и руководителей, посвящённый облачным сервисам Azure. На нём расскажут о службах безопасности и решениях для обеспечения конфиденциальности данных, соответствия регламентам и нормативным требованиям. Узнаете всё, что нужно знать об интеграции Azure с существующими сетями, доступных способах оплаты и уровнях поддержки. Но главное – сможете подготовиться к сертификационному экзамену по Azure и получите возможность бесплатно сдать его. Так что присоединяйтесь, прокачивайте навыки и получайте сертификат Microsoft, который не стыдно коллегам показать: https://vk.cc/bVtPSc
Web Security for Developers.epub
18.7 MB
#web #security #book
Web Security for Developers (2020)
Автор: Malcolm McDonald
В книге разъясняются виды основных атак на веб-приложения с точки зрения разработчика и с акцентом на код. В каждой главе описывается уязвимость и изучается реальная атака, а также приводятся примеры кода, показывающего как уязвимое место в нем, так и способы исправления уязвимости.
Вы узнаете, как:
- защищать от атак путем внедрения кода SQL, вредоносного кода JavaScript и подделки межсайтовых запросов;
- добавлять аутентификацию и контроль доступа к форме для защиты учетных записей;
- блокировать учетные записи пользователей, чтобы предотвратить атаки, основанные на подборе паролей, краже сеансов или повышении привилегий;
- внедрять шифрование;
- управлять уязвимостями в устаревшем коде;
- предотвращать утечки информации, раскрывающие уязвимости;
- устранять сложные атаки, такие как вредоносная реклама и отказ в обслуживании.
Web Security for Developers (2020)
Автор: Malcolm McDonald
В книге разъясняются виды основных атак на веб-приложения с точки зрения разработчика и с акцентом на код. В каждой главе описывается уязвимость и изучается реальная атака, а также приводятся примеры кода, показывающего как уязвимое место в нем, так и способы исправления уязвимости.
Вы узнаете, как:
- защищать от атак путем внедрения кода SQL, вредоносного кода JavaScript и подделки межсайтовых запросов;
- добавлять аутентификацию и контроль доступа к форме для защиты учетных записей;
- блокировать учетные записи пользователей, чтобы предотвратить атаки, основанные на подборе паролей, краже сеансов или повышении привилегий;
- внедрять шифрование;
- управлять уязвимостями в устаревшем коде;
- предотвращать утечки информации, раскрывающие уязвимости;
- устранять сложные атаки, такие как вредоносная реклама и отказ в обслуживании.
👍1
#devops #devsecops
Небольшая подборка вебинаров с теорией и практикой на тему DevOps и DevSecOps:
- DevOps на пальцах
- DevSecOps. Общее погружение
- DevOps. Начало работы в кластере Kubernetes
- SecOps. Средства защиты и контроль доступа к кластеру
- DevSec. Встраивание ИБ в автоматизированный конвейер разработки
Небольшая подборка вебинаров с теорией и практикой на тему DevOps и DevSecOps:
- DevOps на пальцах
- DevSecOps. Общее погружение
- DevOps. Начало работы в кластере Kubernetes
- SecOps. Средства защиты и контроль доступа к кластеру
- DevSec. Встраивание ИБ в автоматизированный конвейер разработки
YouTube
DevOps на пальцах
На вебинаре простым и понятным языком рассказали, о том какие технологии используются в DevOps, зачем они нужны и как правильно их использовать для создания конвейера разработки.
Подробно обсудили на мероприятии:
• Что такое DevOps: что и зачем
• Обзор ключевых…
Подробно обсудили на мероприятии:
• Что такое DevOps: что и зачем
• Обзор ключевых…
#tools #OSINT
Urlhunter — инструмент, позволяющий осуществлять поиск ключевых слов по базе данных сокращенных ссылок, таких как
https://proglib.io/w/aa82bee5
Urlhunter — инструмент, позволяющий осуществлять поиск ключевых слов по базе данных сокращенных ссылок, таких как
bit.ly и goo.gl.https://proglib.io/w/aa82bee5
GitHub
GitHub - utkusen/urlhunter: a recon tool that allows searching on URLs that are exposed via shortener services
a recon tool that allows searching on URLs that are exposed via shortener services - GitHub - utkusen/urlhunter: a recon tool that allows searching on URLs that are exposed via shortener services
#pentest #bugbounty
В ходе поиска уязвимостей в веб-приложениях на вашем пути могут встать многие преграды, в том числе межсетевой экран уровня веб-приложений (Web Application Firewall, WAF). Сегодняшняя серия статей про методы обхода WAF:
- часть 1
- часть 2
- часть 3
- часть 4
В ходе поиска уязвимостей в веб-приложениях на вашем пути могут встать многие преграды, в том числе межсетевой экран уровня веб-приложений (Web Application Firewall, WAF). Сегодняшняя серия статей про методы обхода WAF:
- часть 1
- часть 2
- часть 3
- часть 4
Medium
Bypassing Web Application Firewall Part — 1
As many of you may know, a Web Application Firewall is a firewall that sits in front of our web applications, and filters, analyzes and…
#pentest #bugbounty
Материал о том, как начать путь в багхантинге, который раскрывает именно мотивационную сторону этого вопроса. Иными словами, если для вас поиск багов в первую очередь является любимым делом, а уже потом средством заработка, то вам будет интересна данная статья.
https://proglib.io/w/c7bfe02c
Также автор рекомендует данный блог как путеводитель для участия в Bug Bounty.
Материал о том, как начать путь в багхантинге, который раскрывает именно мотивационную сторону этого вопроса. Иными словами, если для вас поиск багов в первую очередь является любимым делом, а уже потом средством заработка, то вам будет интересна данная статья.
https://proglib.io/w/c7bfe02c
Также автор рекомендует данный блог как путеводитель для участия в Bug Bounty.
Medium
What it takes to find bugs in bounties!
Hi fellow hackers, I hope you all are hunting on your favorite targets and finding bugs. Even if you are not finding them, make sure you…
#tip #bugbounty #pentest
Burp Suite позволяет автоматически искать отраженные параметры, которые могут свидетельствовать о потенциальной XSS. Достаточно изменить единственную настройку.
Burp Suite позволяет автоматически искать отраженные параметры, которые могут свидетельствовать о потенциальной XSS. Достаточно изменить единственную настройку.
#pentest #redteam
Gareth Heyes из PortSwigger рассказывает, как использовать одну ссылку для взлома содержимого PDF-файла и его эксфильтрации на удаленный сервер, а таке исполнять произвольный JavaScript-код в рамках документа с помощью эксплуатации уязвимости в ридере (среди которых есть Adobe Acrobat).
https://proglib.io/w/b1966a23
Gareth Heyes из PortSwigger рассказывает, как использовать одну ссылку для взлома содержимого PDF-файла и его эксфильтрации на удаленный сервер, а таке исполнять произвольный JavaScript-код в рамках документа с помощью эксплуатации уязвимости в ридере (среди которых есть Adobe Acrobat).
https://proglib.io/w/b1966a23
PortSwigger Research
Portable Data exFiltration: XSS for PDFs
Abstract PDF documents and PDF generators are ubiquitous on the web, and so are injection vulnerabilities. Did you know that controlling a measly HTTP hyperlink can provide a foothold into the inner w
#pentest #tools
Nuclei — многофункциональный инструмент для настраиваемого целевого сканирования на основе шаблонов, предлагающий широкие возможности расширения и простоту использования.
Предположим, вы исследуете безопасность определенной организации и встречаете на сетевом периметре Jira. Какие ваши действия? Вы смотрите версию, подбираете соответствующие версии эксплойтов и т. д.
Nuclei автоматизирует вашу работу и позволяет запустить готовый workflow, который сделает все за вас.
https://proglib.io/w/ad197421
Nuclei — многофункциональный инструмент для настраиваемого целевого сканирования на основе шаблонов, предлагающий широкие возможности расширения и простоту использования.
Предположим, вы исследуете безопасность определенной организации и встречаете на сетевом периметре Jira. Какие ваши действия? Вы смотрите версию, подбираете соответствующие версии эксплойтов и т. д.
Nuclei автоматизирует вашу работу и позволяет запустить готовый workflow, который сделает все за вас.
https://proglib.io/w/ad197421
👍1
#devsecops
Руководство по инструментам DevSecOps и методам обеспечения безопасности проектов с открытым исходным кодом на JavaScript и Node.js: https://proglib.io/w/2db8851d
Руководство по инструментам DevSecOps и методам обеспечения безопасности проектов с открытым исходным кодом на JavaScript и Node.js: https://proglib.io/w/2db8851d
Snyk
DevSecOps tools for open source projects
In this article, I’d like to propose best practices and discuss how maintainers, and developers, can adopt DevSecOps tools for open source projects.
#bugbounty
9 качественных подборок с советами по пентесту веб-приложений и участию в Bug Bounty: https://proglib.io/w/6dc89192
9 качественных подборок с советами по пентесту веб-приложений и участию в Bug Bounty: https://proglib.io/w/6dc89192
InfosecMatter
Bug Bounty Tips - InfosecMatter
Currated collection of bug bounty tips collected from the bug bounty community on Twitter sharing their #bugbountytips to help us all find more vulnerabilities.
#tool #pentest
Учимся работать с SQLmap — лучшим инструментом эксплуатации SQL-инъекций.
https://proglib.io/w/f3e4004b
Учимся работать с SQLmap — лучшим инструментом эксплуатации SQL-инъекций.
https://proglib.io/w/f3e4004b
HackerTarget.com
SQLmap Tutorial
Running sqlmap yourself is not difficult. This tutorial will take you from noob to ninja with this powerful sql injection testing tool. Sqlmap is a python
Вводим рубрику #quiz, в рамках которой будем освещать некоторые основы ИБ.
Какой сетевой пакет представляет собой сегмент данных?
Какой сетевой пакет представляет собой сегмент данных?
Anonymous Quiz
15%
ARP-пакет
23%
IP-пакет
33%
TCP-пакет
13%
UDP-пакет
15%
Посмотреть результаты