Forwarded from Библиотека Go-разработчика | Golang
Владимир Романько, Development Team Lead из «Лаборатории Касперского», рассказывает про фаззинг в Go в целом, и в частности про:
— историю фаззинга;
— где и как искать баги;
— как помочь фаззинг-тестам эффективнее находить их в самых неожиданных местах.
И показывает этот подход на примере обнаружения SQL-инъекций.
Читать
— историю фаззинга;
— где и как искать баги;
— как помочь фаззинг-тестам эффективнее находить их в самых неожиданных местах.
И показывает этот подход на примере обнаружения SQL-инъекций.
Читать
Хабр
Где искать баги фаззингом и откуда вообще появился этот метод
Подход фаззинг-тестирования родился еще в 80-х годах прошлого века. В некоторых языках он используется давно и плодотворно — соответственно, уже успел занять свою нишу. Сторонние фаззеры для Go были...
👍3🤔2
#bugbounty #pentest #research
Использование генераторов статических сайтов: когда статические на самом деле не статические
Глубокая исследовательская работа Сэма Карри в области безопасности приложений в пространстве Web3 побудила команду Assetnote погрузиться в изучение этих фреймворков и платформ. Читайте историю про безопасность некоторых конфигураций статических генераторов сайтов.
Читать
Использование генераторов статических сайтов: когда статические на самом деле не статические
Глубокая исследовательская работа Сэма Карри в области безопасности приложений в пространстве Web3 побудила команду Assetnote погрузиться в изучение этих фреймворков и платформ. Читайте историю про безопасность некоторых конфигураций статических генераторов сайтов.
Читать
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#bugbounty #pentest
Использование скрытой поверхности атаки Web 3.0: захватывающий разбор XSS + SSRF в Next.js библиотеке netlify-ipx.
Читать
Использование скрытой поверхности атаки Web 3.0: захватывающий разбор XSS + SSRF в Next.js библиотеке netlify-ipx.
Читать
👍8🙏3
#career #blueteam
Кристина Жезлова, Специалист центра мониторинга ИБ в IT-компании «Лоция», рассказывает о поиске первой работы, направления для развития и многом другом.
Выше на картинке — субъективное мнение, на которое не следует слепо полагаться. Но в направлении SOC и blue team такие зарплаты действительно есть.
Читать
Кристина Жезлова, Специалист центра мониторинга ИБ в IT-компании «Лоция», рассказывает о поиске первой работы, направления для развития и многом другом.
Выше на картинке — субъективное мнение, на которое не следует слепо полагаться. Но в направлении SOC и blue team такие зарплаты действительно есть.
Читать
👍4
Forwarded from Библиотека программиста | программирование, кодинг, разработка
📌 Если вы всегда хотите быть в курсе книжных новинок, обновлений и другой полезной информации, касающейся вашего языка или области программирования, вы можете начать читать один из наших каналов, где мы каждый день публикуем учебные материалы для разработчиков разного уровня.
😂 Канал с мемами: t.iss.one/itmemlib
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.iss.one/proglibrary
Библиотека хакера: t.iss.one/hackproglib
Go: t.iss.one/goproglib
C\C++: t.iss.one/cppproglib
PHP: t.iss.one/phpproglib
Frontend: t.iss.one/frontendproglib
Python: t.iss.one/pyproglib
Mobile: t.iss.one/mobileproglib
Data Science: t.iss.one/dsproglib
Java: t.iss.one/javaproglib
C#: t.iss.one/csharpproglib
Devops: t.iss.one/devopsslib
Тестирование: t.iss.one/testerlib
Бот с IT-вакансиями: t.iss.one/proglib_job_bot
🎓 Наша школа Proglib Academy: https://t.iss.one/proglib_academy
📺 Наш канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.iss.one/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.iss.one/event_listener_bot
👨💻 Полезные материалы по всему, что может быть интересно любому программисту.
Библиотека программиста: t.iss.one/proglibrary
Библиотека хакера: t.iss.one/hackproglib
Go: t.iss.one/goproglib
C\C++: t.iss.one/cppproglib
PHP: t.iss.one/phpproglib
Frontend: t.iss.one/frontendproglib
Python: t.iss.one/pyproglib
Mobile: t.iss.one/mobileproglib
Data Science: t.iss.one/dsproglib
Java: t.iss.one/javaproglib
C#: t.iss.one/csharpproglib
Devops: t.iss.one/devopsslib
Тестирование: t.iss.one/testerlib
Бот с IT-вакансиями: t.iss.one/proglib_job_bot
📺 Наш канал на YouTube: https://www.youtube.com/c/Библиотекапрограммиста
📄 Лента в Дзен: https://zen.yandex.ru/proglib
🗺 Если вы хотите быть в курсе последних событий в мире разработки, подписывайтесь на нашего бота t.iss.one/event_listener_bot. Там можно настроить бота под себя: указать интересующие города и темы.
Подписывайтесь: t.iss.one/event_listener_bot
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
#tools #recon
Всегда радуют инструменты, которые начинаются с «next-generation». Но у projectdiscovery с этим все в порядке. Встречайте: next-generation фреймворк для сканирования веб-приложений и поиска информации.
https://github.com/projectdiscovery/katana
Всегда радуют инструменты, которые начинаются с «next-generation». Но у projectdiscovery с этим все в порядке. Встречайте: next-generation фреймворк для сканирования веб-приложений и поиска информации.
https://github.com/projectdiscovery/katana
👍3
#basics #learning
🔼 Визуальное руководство по SSH-туннелям + лабораторные работы. Если интересуетесь темой компьютерных сетей, читайте полную серию Computer Networking Fundamentals.
🔼 Визуальное руководство по SSH-туннелям + лабораторные работы. Если интересуетесь темой компьютерных сетей, читайте полную серию Computer Networking Fundamentals.
👍4
#pentest #career
В поисках туториала по пентесту: как и откуда получить базовые знания, чтобы стать ИБ-специалистом.
Читать
В поисках туториала по пентесту: как и откуда получить базовые знания, чтобы стать ИБ-специалистом.
Читать
Форум информационной безопасности - Codeby.net
В поисках туториала по пентесту - Форум информационной...
You must be registered for see element.
Последние год-полтора я медленно бродил по просторам интернета в поисках информации по становлению специалистом по ИБ и пентесту. В основном суть...
Последние год-полтора я медленно бродил по просторам интернета в поисках информации по становлению специалистом по ИБ и пентесту. В основном суть...
#career
Ищете работу в ИБ и устали ежедневно просматривать десятки сайтов? Подписывайтесь в Telegram на наш канал и узнавайте о самых интересных вакансиях без лишних телодвижений!
https://t.iss.one/hackdevjob
Ищете работу в ИБ и устали ежедневно просматривать десятки сайтов? Подписывайтесь в Telegram на наш канал и узнавайте о самых интересных вакансиях без лишних телодвижений!
https://t.iss.one/hackdevjob
Telegram
InfoSec Jobs — вакансии по информационной безопасности, infosec, pentesting, пентестингу, security engineer, инфобезу, DevSecOps
Лучшие вакансии для хакеров.
По рекламе: @proglib_adv
Учиться у нас: https://proglib.io/w/0aa0c9ee
Для обратной связи: @proglibrary_feeedback_bot
Наши каналы: https://t.iss.one/proglibrary/9197
По рекламе: @proglib_adv
Учиться у нас: https://proglib.io/w/0aa0c9ee
Для обратной связи: @proglibrary_feeedback_bot
Наши каналы: https://t.iss.one/proglibrary/9197
#tips #bugbounty #pentest
Полезный материал из рубрики «Что я узнал из баг-репортов»
Автор проанализировал 143 баг-репорта и 74 writeup'а на тему Subdomain Takeovers (SDTO), DNS Hijacking, Dangling DNS и CNAME misconfigurations. Поверьте, ему есть что сказать.
Читать
Полезный материал из рубрики «Что я узнал из баг-репортов»
Автор проанализировал 143 баг-репорта и 74 writeup'а на тему Subdomain Takeovers (SDTO), DNS Hijacking, Dangling DNS и CNAME misconfigurations. Поверьте, ему есть что сказать.
Читать
Medium
What I learnt from reading 217* Subdomain Takeover bug reports.
A comprehensive analysis of Subdomain Takeovers (SDTO), DNS Hijacking, Dangling DNS, CNAME misconfigurations…
#learning #bugbounty
Многие из этих книг опубликованы на канале, тем не менее ловите подборку из пяти книг по поиску ошибок для начинающих, которые вы должны прочитать.
Читать
Многие из этих книг опубликованы на канале, тем не менее ловите подборку из пяти книг по поиску ошибок для начинающих, которые вы должны прочитать.
Читать
▶️ Больше мемов вы найдете на канале @itmemlib
🤔1
#CVE #redteam
Коллекция ядерных уязвимостей с подробным описанием и демо, направленных на повышение привилегий в Windows.
https://github.com/Ascotbe/Kernelhub
Коллекция ядерных уязвимостей с подробным описанием и демо, направленных на повышение привилегий в Windows.
https://github.com/Ascotbe/Kernelhub
GitHub
GitHub - Ascotbe/Kernelhub: :palm_tree:Linux、macOS、Windows Kernel privilege escalation vulnerability collection, with compilation…
:palm_tree:Linux、macOS、Windows Kernel privilege escalation vulnerability collection, with compilation environment, demo GIF map, vulnerability details, executable file (提权漏洞合集) - GitHub - Ascotbe...
Документ, который призван расширить текущую модель угроз и предоставить подробные рекомендации по обеспечению безопасности Node.js приложений.
Читать
Читать
Google Docs
Nodejs - Threat Model
Node.js Threat Model Initiative: Security Model Strategy Note: This document is currently under development. If you want to contribute, feel free to ask permission to this document in the #nodejs-security-wg OpenJS Foundation Slack channel. PR Created:…
😁2
#career #infosec
Все, кто когда-либо сталкивался с уязвимостями, встречал работы Михала Залевски (Michal Zalewski).
Читайте историю этого удивительного специалиста, который кроме успешной ИБ-карьеры написал книгу с практическими советами по подготовке к наступающему концу света. 🤷♂️
Читать
Все, кто когда-либо сталкивался с уязвимостями, встречал работы Михала Залевски (Michal Zalewski).
Читайте историю этого удивительного специалиста, который кроме успешной ИБ-карьеры написал книгу с практическими советами по подготовке к наступающему концу света. 🤷♂️
Читать
Хабр
От взлома Firefox до подготовки к Апокалипсису. Как польский хакер Михал Залевски попал в «Матрицу»
Как говорят философы, лучший код — код, которого нет или который не нужно поддерживать. Эта мудрость объясняет, почему некоторые выдающиеся разработчики не пишут много нового кода, а наоборот — ставят...
👍2
#CVE #infosec
Вдогонку к предыдущему посту хочется более глубоко раскрыть тему CVE. Самое главное: CVE может принести вам известность в ИБ-кругах. Под катом вы увидите краткие ответы на следующие вопросы:
— Что такое CVE?
— Кто может сообщить о CVE?
— Можно ли получить свою?
— Где искать? И другие.
Читать
Вдогонку к предыдущему посту хочется более глубоко раскрыть тему CVE. Самое главное: CVE может принести вам известность в ИБ-кругах. Под катом вы увидите краткие ответы на следующие вопросы:
— Что такое CVE?
— Кто может сообщить о CVE?
— Можно ли получить свою?
— Где искать? И другие.
Читать
Gwendal Le Coguic
CVE demystified
As a security researcher, as a beginner, you may see the fact of having your own CVE as the Graal.
What are CVEs ?
Who can request them ?
Is it possible to get your own ?
Where to search ? What products ?
Let’s demystify the legend.
What are CVEs ?
Who can request them ?
Is it possible to get your own ?
Where to search ? What products ?
Let’s demystify the legend.
Разбор недавней уязвимости, которая позволяла атакующему с физическим доступом к любому телефону Google Pixel обойти меры защиты экрана блокировки (отпечаток пальца, PIN и так далее) и получить полный доступ к устройству.
Читать
Читать
Хабр
Как я случайно обошёл блокировку Google Pixel и получил за это $70 тысяч
Я обнаружил уязвимость, похоже, затронувшую все телефоны Google Pixel: вы можете дать мне любое заблокированное устройство Pixel, и я верну его вам разблокированным. Баг устранили в обновлении...
👍4