#news
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— Хакеры угоняют автомобили Honda, новый неуловимый Linux-вредонос Orbit. Security-новости от главреда Securitylab.ru
— CWE Top 25 2022: обзор изменений от PVS-Studio
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— Хакеры угоняют автомобили Honda, новый неуловимый Linux-вредонос Orbit. Security-новости от главреда Securitylab.ru
— CWE Top 25 2022: обзор изменений от PVS-Studio
Хабр
Security Week 2229: атака Retbleed ломает защиту от Spectre v2
На прошлой неделе исследователи из Швейцарской высшей технической школы Цюриха (ETH Zurich) опубликовали детали новой атаки. Она является развитием обнаруженной в 2018 году атаки Spectre v2. Название...
👍3
Forwarded from Библиотека шарписта | C#, F#, .NET, ASP.NET
Воркшоп на тему «Разработка вредоносного ПО для чайников»
Внутри репозитория слайды, упражнения, примеры кода и ресурсы, которые помогут вам начать разработку вредоносных программ на C# и Nim. И да, информация приводимся в учебных целях.
https://proglib.io/w/b5fe284d
Внутри репозитория слайды, упражнения, примеры кода и ресурсы, которые помогут вам начать разработку вредоносных программ на C# и Nim. И да, информация приводимся в учебных целях.
https://proglib.io/w/b5fe284d
GitHub
GitHub - chvancooten/maldev-for-dummies: A workshop about Malware Development
A workshop about Malware Development. Contribute to chvancooten/maldev-for-dummies development by creating an account on GitHub.
👍2
#pentest #bugbounty #practice
GraphQL набирает обороты, а вместе с популярностью приходят исследователи безопасности. Разбираемся, какие атаки встречается в API на основе GraphQL.
https://proglib.io/w/59797a27
GraphQL набирает обороты, а вместе с популярностью приходят исследователи безопасности. Разбираемся, какие атаки встречается в API на основе GraphQL.
https://proglib.io/w/59797a27
Хабр
Атаки на GraphQL
В ходе пентеста веб-приложений специалист по тестированию на проникновение достаточно часто сталкивается с необходимостью тестировать API. Как правило это REST API, про тестирование которого написано...
🔥2
#writeup #recon #bugbounty #pentest
История успешной автоматизации разведки, которая привела к выявлению критической уязвимости.
https://proglib.io/w/a588c4ac
История успешной автоматизации разведки, которая привела к выявлению критической уязвимости.
https://proglib.io/w/a588c4ac
Medium
Good things takes time | Story of my first “valid” critical bug!
Hello there, I am Krishna Agarwal ( Kr1shna 4garwal ) from India 🇮🇳. An ordinary bug hunter and So called security researcher :)
👍2
#OSINT #recon #pentest #redteam
«Полезные приемы OSINT», «Обнаружение более 90% атак, зная лишь 5% техник злоумышленников», «Почему возможен фишинг даже на официальных сайтах крупных компаний». Эти и другие темы в треке «Технический доклад» на PHDays 11.
https://proglib.io/w/5648481d
«Полезные приемы OSINT», «Обнаружение более 90% атак, зная лишь 5% техник злоумышленников», «Почему возможен фишинг даже на официальных сайтах крупных компаний». Эти и другие темы в треке «Технический доклад» на PHDays 11.
https://proglib.io/w/5648481d
Хабр
Подборка самых просматриваемых докладов на PHDays 11. Трек «Технический доклад»
Месяцы подготовки, десятки топовых спикеров, более 100 докладов и круглых столов по самым острым вопросам бизнес-повестки, а также из области настоящего технологического хардкора: завершился...
🔥2
#security #appsec #blueteam
Коллекция руководств, инструментов и лучших практик по усилению безопасности.
https://proglib.io/w/804ff981
Коллекция руководств, инструментов и лучших практик по усилению безопасности.
https://proglib.io/w/804ff981
GitHub
GitHub - decalage2/awesome-security-hardening: A collection of awesome security hardening guides, tools and other resources
A collection of awesome security hardening guides, tools and other resources - decalage2/awesome-security-hardening
🔥3
#security #appsec #blueteam
OWASP Kubernetes топ-10 — документ, который призван помочь специалистам по безопасности, системным администраторам и разработчикам определить приоритеты рисков в экосистеме Kubernetes.
Список основан на данных, собранных в организациях разной степени зрелости и сложности.
https://proglib.io/w/aa3659fc
OWASP Kubernetes топ-10 — документ, который призван помочь специалистам по безопасности, системным администраторам и разработчикам определить приоритеты рисков в экосистеме Kubernetes.
Список основан на данных, собранных в организациях разной степени зрелости и сложности.
https://proglib.io/w/aa3659fc
GitHub
GitHub - OWASP/www-project-kubernetes-top-ten: OWASP Foundation Web Respository
OWASP Foundation Web Respository. Contribute to OWASP/www-project-kubernetes-top-ten development by creating an account on GitHub.
👍4
#writeup #bugbounty #pentest
Подробная история объединения нескольких выявленных уязвимостей в плагине Wordpress для повышения привилегий от неаутентифицированного посетителя до администратора.
https://proglib.io/w/1735ec97
Подробная история объединения нескольких выявленных уязвимостей в плагине Wordpress для повышения привилегий от неаутентифицированного посетителя до администратора.
https://proglib.io/w/1735ec97
RCE Security
WordPress Transposh: Exploiting a Blind SQL Injection via XSS
IntroductionYou probably have read about my recent swamp of CVEs affecting a WordPress plugin called Transposh Translation Filter, which resulted in more than $30,000 in bounties and WordPress’s removal of the plugin from its directory:
👍7
#blockchain #security #pentest
Введение в исследование безопасности смарт-контрактов:
— Reentrancy Attack
— Overflow (перевод)
— Selfdestruct
— Accessing Private Data
— Delegatecall: ч. 1 & ч. 2
Введение в исследование безопасности смарт-контрактов:
— Reentrancy Attack
— Overflow (перевод)
— Selfdestruct
— Accessing Private Data
— Delegatecall: ч. 1 & ч. 2
Medium
Intro to Smart Contract Security Audits | Reentrancy Attack
Introduction to Smart Contract Vulnerabilities: Reentrancy Attack
🔥6👍1
Cloud_Attack_Vectors.pdf
6.9 MB
#cloud #security #pentest
Cloud Attack Vectors: Building Effective Cyber-Defense Strategies to Protect Cloud Resources, 2022
Авторы: Morey J. Haber, Brian Chappell, Christopher Hills
Перед вами книга, которая подробно описывает:
— риски, связанные с облачным развертыванием,
— методы, которые используют злоумышленники,
— эмпирически проверенные защитные меры, которые должны принять организации,
и показывают, как улучшить обнаружение вредоносной активности.
Cloud Attack Vectors: Building Effective Cyber-Defense Strategies to Protect Cloud Resources, 2022
Авторы: Morey J. Haber, Brian Chappell, Christopher Hills
Перед вами книга, которая подробно описывает:
— риски, связанные с облачным развертыванием,
— методы, которые используют злоумышленники,
— эмпирически проверенные защитные меры, которые должны принять организации,
и показывают, как улучшить обнаружение вредоносной активности.
👍2
#career #infosec
Мини-обзор самых востребованных профессий в области кибербезопасности.
https://proglib.io/w/6e724886
Мини-обзор самых востребованных профессий в области кибербезопасности.
https://proglib.io/w/6e724886
Хабр
Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS
В 2019 году Всемирный экономический форум (ВЭФ) назвал кибератаки четвёртой по значимости глобальной проблемой для человечества. Спрос в мире на специалистов в области кибербезопасности растёт, так...
👍3
#cve #writeup #pentest
Полный разбор CVE-2022-2185, RCE-уязвимости в Gitlab Project Import
Как всегда, интересны подход, размышления и практические кейсы, которые используются для воспроизведения уязвимости.
https://proglib.io/w/51e23541
Полный разбор CVE-2022-2185, RCE-уязвимости в Gitlab Project Import
Как всегда, интересны подход, размышления и практические кейсы, которые используются для воспроизведения уязвимости.
https://proglib.io/w/51e23541
STAR Labs
Gitlab Project Import RCE Analysis (CVE-2022-2185)
At the beginning of this month, GitLab released a security patch for versions 14->15. Interestingly in the advisory, there was a mention of a post-auth RCE bug with CVSS 9.9.
The bug exists in GitLab’s Project Imports feature, which was found by @vakzz. Incidentally…
The bug exists in GitLab’s Project Imports feature, which was found by @vakzz. Incidentally…
👍2
#interview
Linux — один из основных инструментов каждого безопасника. Если вы хотите узнать основные аспекты этой ОС или подготовиться к собеседованию, добро пожаловать под кат.
https://proglib.io/w/0daa1de4
Linux — один из основных инструментов каждого безопасника. Если вы хотите узнать основные аспекты этой ОС или подготовиться к собеседованию, добро пожаловать под кат.
https://proglib.io/w/0daa1de4
Software Testing Help
Top 35 LINUX Interview Questions and Answers
In this article, we will see multiple LINUX Interview Questions and answers which will not only help to prepare for interviews but also help in learning all about Linux.
👍6
#pentest #bugbounty
Коллекция ресурсов для погружения в безопасность веб-сокетов.
https://proglib.io/w/9b5c77ff
Коллекция ресурсов для погружения в безопасность веб-сокетов.
https://proglib.io/w/9b5c77ff
GitHub
GitHub - PalindromeLabs/awesome-websocket-security: Awesome information for WebSockets security research
Awesome information for WebSockets security research - PalindromeLabs/awesome-websocket-security
👍4
#OSINT #forensic
Команда визуальных расследований газеты New York Times делится опытом своего ремесла с использованием видео и без:
— Определение и методы визуальных расследований
— 3D-реконструкция убийства Бреонны Тейлор
— Отслеживание контрабанды нефтепродуктов
— Реконструкция штурма Капитолия США и многое другое
https://proglib.io/w/8c82f2fe
Команда визуальных расследований газеты New York Times делится опытом своего ремесла с использованием видео и без:
— Определение и методы визуальных расследований
— 3D-реконструкция убийства Бреонны Тейлор
— Отслеживание контрабанды нефтепродуктов
— Реконструкция штурма Капитолия США и многое другое
https://proglib.io/w/8c82f2fe
YouTube
Визуальные расследования с использованием видео и без – #GIJC21
Когда-то считавшийся просто формой фактчекинга, криминалистический анализ изображений быстро превратился в важнейший метод журналистского расследования.
Всё благодаря новым технологиям, инновационным навыкам и повсеместному распространению визуального контента…
Всё благодаря новым технологиям, инновационным навыкам и повсеместному распространению визуального контента…
👍1🤔1
#guide #bugbounty #pentest
Arbitrary Object Instantiations в PHP: интересный кейс эксплуатации из практики команды PT SWARM.
https://proglib.io/w/81b5f753
Arbitrary Object Instantiations в PHP: интересный кейс эксплуатации из практики команды PT SWARM.
https://proglib.io/w/81b5f753
PT SWARM
Exploiting Arbitrary Object Instantiations in PHP without Custom Classes
We discovered an application with "new $a($b)" and no user-defined classes. We turned it to RCE.
👍3
#mindmap #OSINT
Кликабельно-древовидная карта с полезными инструментами для OSINT.
https://proglib.io/w/37d6bb68
Кликабельно-древовидная карта с полезными инструментами для OSINT.
https://proglib.io/w/37d6bb68
👍2
#news
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Албания ушла в оффлайн после кибератаки, срываем маски: новая кэш-атака. Security-новости от главреда Securitylab.ru
Очередная подборка новостей для этичного хакера:
— Security Week от «Лаборатории Касперского»
— ТОП-3 ИБ-событий недели по версии Jet CSIRT
— Албания ушла в оффлайн после кибератаки, срываем маски: новая кэш-атака. Security-новости от главреда Securitylab.ru
Хабр
Security Week 2230: утечка данных через кабель SATA
Исследователь Мордехай Гури из израильского университета Бен-Гуриона опубликовал на прошлой неделе новую работу , расширяющую достаточно специфическую область знаний в сфере безопасности: методы кражи...
#pentest #redteam
Пентест внешнего периметра организации и проверка поведения сотрудников в онлайне/офлайне: история из опыта компании Бастион.
https://proglib.io/w/53a3c176
Пентест внешнего периметра организации и проверка поведения сотрудников в онлайне/офлайне: история из опыта компании Бастион.
https://proglib.io/w/53a3c176
Хабр
Бесконтрольный доступ и рассеянность: итоги одного пентеста
В этом проекте нет сложных или изящных атак — напротив, многие из них просты, даже примитивны. Эта история про то, как неплохо защищенная в техническом плане компания может пострадать из-за...
#writeup #bugbounty #pentest
Разбор простой, но не совсем очевидной SQL-инъекции в авторизационном токене.
https://proglib.io/w/3e0a875b
Разбор простой, но не совсем очевидной SQL-инъекции в авторизационном токене.
https://proglib.io/w/3e0a875b
Techncyber
Exploiting SQL Injection at Authorization token
Learn about a unique SQL Injection Finding with Authorization Headers Token
👍2