🎅Advent of Cyber — бесплатный челлендж для этичного хакера от TryHackMe. Каждый день в декабре будут публиковаться задания на различные интересные темы.
John Hammond уже показал первое задание, изучил на практике AI prompt injection и затронул темы других заданий.
#hacking #pentest #ctf
John Hammond уже показал первое задание, изучил на практике AI prompt injection и затронул темы других заданий.
#hacking #pentest #ctf
👍4
Многие приходят в ИБ-индустрию через CTF, а некоторые потом не могут остановиться. Какие CTF вы проходили и какие площадки вам действительно понравились? Поделитесь опытом👇
Anonymous Poll
52%
TryHackMe
52%
HackTheBox
16%
Root-Me
6%
Standoff 101 от Positive Technologies
5%
CTF.Zone от BI.ZONE
8%
CryptoHack
8%
Pentesterlab
11%
VulnHub
8%
Hacker 101
15%
Свой вариант (напишу в комментариях)
👍1
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
Продолжаем наш опрос — вторая часть👇
Продолжаем наш опрос — последняя, третья часть👇
❤1
На каком языке программирования вы пишете больше всего?
Anonymous Poll
43%
Python
7%
Go
7%
Java
4%
JavaScript
2%
TypeScript
14%
C/C++
7%
С#
1%
Swift/Kotlin
5%
PHP
10%
Другой
👍1
Какая ваша специализация в IT?
Anonymous Poll
18%
Backend
3%
Frontend
9%
Fullstack
1%
Mobile
3%
Desktop
9%
DevOps/Sysadmin
2%
QA
2%
Data Science
39%
Кибербезопасность
13%
Другое
😁1
Какой грейд у вас на работе?
Anonymous Poll
14%
Стажер
18%
Джуниор
23%
Миддл
14%
Сеньор
6%
Тимлид
4%
Архитектор
2%
СТО
20%
я не в IT
Инъекции в почтовую функциональность веб-приложений
Да, на дворе 2023 год и вы видите этот заголовок. Формы в веб-приложениях крупных компаний всё так же возвращают отладочные
Узнайте подробнее основы работы почты и потенциальные уязвимости на практике:
☑️ Основы работы почты
◦ Почтовые протоколы
◦ Почтовые компоненты
◦ Конструкция письма
◦ Специальные конструкции
☑️ Потенциальные уязвимости
◦ CRLF Injection
◦ Arbitrary Command Flag Injection
☑️ Демонстрация эксплуатации
◦ Заготовка приложения
◦ NodeJS:
◦ PHP:
◦ Python:
#writeup #research #pentest
Да, на дворе 2023 год и вы видите этот заголовок. Формы в веб-приложениях крупных компаний всё так же возвращают отладочные
SMTP логи, в веб-приложениях компаний поменьше — отправляют ответы самописными средствами, а уязвимости и вовсе имеют обыкновение появляться вновь.Узнайте подробнее основы работы почты и потенциальные уязвимости на практике:
☑️ Основы работы почты
◦ Почтовые протоколы
◦ Почтовые компоненты
◦ Конструкция письма
◦ Специальные конструкции
☑️ Потенциальные уязвимости
◦ CRLF Injection
◦ Arbitrary Command Flag Injection
☑️ Демонстрация эксплуатации
◦ Заготовка приложения
◦ NodeJS:
smtp-client (CRLF SMTP Injection в MAIL FROM / DATA + E-mail hijacking)◦ PHP:
mail() (CRLF SMTP Injection + Command Flag Injection)◦ Python:
imaplib / email (CRLF IMAP Injection + Improper Input Validation)#writeup #research #pentest
👍5
📌 Несколько интересных — в нашей подборке:
📺 «Систематизируем багбаунти с помощью аномалий» — доклад Анатолия Иванова о том, как можно обучиться поиску крутых уязвимостей и даже выработать для этого определенный паттерн
📺 «Продвинутые client-side атаки» — доклад Всеволода Кокорина про конкретные техники атак, которые не ограничиваются простой вставкой тегов, а также про атаки с использованием XS-Leaks
📺 «Как выжить на bug bounty: история исследователя безопасности» — доклад Артема Кулакова о личном опыте участия в программе bug bounty
📺 «Багбаунти vs. red team: как найти тот самый эндпоинт» — ответы на важные вопросы
👉 Standoff Talks #4
👉 Standoff 12
#чтопроисходит #secevent
👉 Standoff Talks #4
👉 Standoff 12
#чтопроисходит #secevent
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5
Forwarded from Библиотека программиста | программирование, кодинг, разработка
📯Внимание всем отважным героям и искателям приключений!
«Библиотеки Программиста» с гордостью представляет новую захватывающую игру — «Битва с Драконом». Выберите своих персонажей и сразитесь с древним Крылатым Ужасом Бурлопиворогом в эпическом поединке!
Мы предлагаем вам взять под свой контроль хитроумного изобретателя или ловкого вора.
💎Победителей ждет почет, уважение и награда! Итак, кто осмелится бросить вызов Бурлопиворогу? Начните свою «Битву с Драконом»!
«Библиотеки Программиста» с гордостью представляет новую захватывающую игру — «Битва с Драконом». Выберите своих персонажей и сразитесь с древним Крылатым Ужасом Бурлопиворогом в эпическом поединке!
Мы предлагаем вам взять под свой контроль хитроумного изобретателя или ловкого вора.
💎Победителей ждет почет, уважение и награда! Итак, кто осмелится бросить вызов Бурлопиворогу? Начните свою «Битву с Драконом»!
🔥2
📌 Что внутри:
🔹Challenge 0x1 : Frida setup, Hooking a method
🔹Challenge 0x2 : Calling a static method
🔹Challenge 0x3 : Changing the value of a variable
🔹Challenge 0x4 : Creating a class instance
🔹Challenge 0x5 : Invoking methods on an existing instance
🔹Challenge 0x6 : Invoking a method with an object argument
🔹Challenge 0x7 : Hooking the constructor
🔹Challenge 0x8 : Introduction to native hooking
🔹Challenge 0x9 : Changing the return value of a native function
🔹Challenge 0xA : Calling a native function
🔹Challenge 0xB : Patching instructions using X86Writer and ARM64Writer
#reverse #practice
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3
Как заявляют разработчики, очень много работы остается за кулисами. Поэтому скоро можно ждать что-то интересное.
📌 Что внутри:
☑️ ARM64 Cloud на Amazon AWS и Microsoft Azure
☑️ Поддержка Vagrant Hyper-V и Raspberry Pi 5
☑️ GNOME 45 — тема Kali доступна в последних версиях
☑️ Переработанная внутренняя инфраструктура
☑️ Новые инструменты — как всегда, различные новые и обновленные пакеты
#tools
Please open Telegram to view this post
VIEW IN TELEGRAM
👍9🔥7😁1
☑️ Анализирует пути/URL-адреса из JavaScript
☑️ Определяет ключевые параметры с помощью инструмента sus_params
☑️ Генерирует целевые словари для фаззинга
🔗 GitHub
🔗 Обучающий видеогайд
#tools #pentest #recon #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥3
🔎 Разведка API
Первый шаг — сбор информации об API. Например, нужно найти эндпоинты API, такие как
/api/books для получения списка книг, и понять, как с ними взаимодействовать (какие типы запросов они принимают, какие параметры требуются и т. д.).🔎 Документация API — важный ключ к пониманию всей структуры API
/api
/swagger/index.html
/openapi.json
🔎 Определение эндпоинтов API
Ищите в URL-адресах и JS-файлах шаблоны, указывающие на API:
/api/, /api/v1.1/ и т. д. 🔎 Взаимодействие с эндпоинтами API
После того, как вы определили эндпоинты API, взаимодействуйте с ними с помощью инструментов Burp. Это позволяет вам наблюдать за поведением API и обнаруживать дополнительную поверхность атаки. Например, вы можете изучить, как API реагирует на изменение метода HTTP или типа media.
Не стоит также забывать про определение скрытых параметров и тестирование уязвимостей mass assignment. Читайте подробнее в руководстве и отрабатывайте навыки на практике с помощью лабораторий.
#tips #bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍3
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Где учиться на хакера
Enjoy the videos and music you love, upload original content, and share it all with friends, family, and the world on YouTube.
🥱4👍2😁1
🧠Чему вы бы хотели научиться?
Расскажите нам о ваших пожеланиях: какие навыки вы хотели бы прокачать в ближайшее время или какую профессию хотели бы приобрести?
За прохождение опроса вы получите промокод на скидку 15% на все наши курсы до конца 2024 года.
👉Опрос по ссылке👈
Расскажите нам о ваших пожеланиях: какие навыки вы хотели бы прокачать в ближайшее время или какую профессию хотели бы приобрести?
За прохождение опроса вы получите промокод на скидку 15% на все наши курсы до конца 2024 года.
👉Опрос по ссылке👈
😁4👏2❤1🥱1
🎄Уже решали Advent of Cyber 2023 от TryHackMe? Если нет, то у вас еще есть больше двух недель!
🤩 Но если решать некогда или не хватает скиллов, читайте райтапы каждого дня в блоге Karthikeyan Nagaraj.
#ctf #practice
#ctf #practice
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5
⚡Очередная подборка новостей для этичного хакера: навёрстываем пропущенные новостные выпуски
👀 MEGANews. Самые важные события в мире инфосека за октябрь от журнала «Хакер»:
• Отражен мощнейший DDoS в истории
• Утекли исходники HelloKitty
• Обнаружены Android-девайсы с бэкдором
• Microsoft запретит активацию старыми ключами
• Арестован разработчик Ragnar Locker
• Уязвимости curl оказались нестрашными
• Массовые атаки на Cisco IOS XE
• Уязвимости в Squid исправляют 2,5 года
• Microsoft отказывается от VBScript
• Устройствам Apple угрожает iLeakage
🔐 Самые громкие события инфобеза за ноябрь по версии компании T.Hunter:
• Официальный запуск CVSS 4.0
• NVIDIA в центре скандала с промышленным шпионажем
• Масштабная уязвимость в ключах биткоин-кошельков
• Провинившийся Binance и отправившийся на дно Sinbad
• Финальный удар по операторам LockerGoga и MegaCortex
🔥 Топ самых интересных CVE за ноябрь по версии компании T.Hunter:
• CVE-2023-5941: выполнение произвольного кода в ОС FreeBSD
• CVE-2023-5996/CVE-2023-5997: Use-after-free в компонентах/Garbage/Navigation Google Chrome
• CVE-2023-47640/CVE-2023-47629: повышение привилегий в DataHub
• CVE-2023-47444: удаленное выполнение кода на сервере в OpenCart
• CVE-2023-47585/CVE-2023-47584/CVE-2023-47586: многочисленные уязвимости в продуктах Fuji Electric
• CVE-2023-43612/CVE-2023-6045: уязвимости в OpenHarmony
• CVE-2023-6176: отказ в обслуживании в ядре Linux
• CVE-2023-32629: повышение привилегий в OverlayFS ядра Ubuntu
🌐 Security-новости от SecLab:
• Израильская ИИ-система «Евангелие» / Экстренное обновление Chrome / Жестокость вне закона
• Ноутбуки и лживая биометрия / Кибербез 2024: чего ждать? / Бил Гейтс предсказал «малину»
• Опасные рекламные данные / сколько стоит ликвидация атаки / 100 тысяч ключей от Google
• Каким будет VPN в России / Нет айтишников — нет эффективности / исторический запрет на ИИ
• CVSS 4.0 — новый стандарт / Кибервойска: мнение Минцифры / Двойной листинг и шантаж законом
#чтопроисходит #news
• Отражен мощнейший DDoS в истории
• Утекли исходники HelloKitty
• Обнаружены Android-девайсы с бэкдором
• Microsoft запретит активацию старыми ключами
• Арестован разработчик Ragnar Locker
• Уязвимости curl оказались нестрашными
• Массовые атаки на Cisco IOS XE
• Уязвимости в Squid исправляют 2,5 года
• Microsoft отказывается от VBScript
• Устройствам Apple угрожает iLeakage
• Официальный запуск CVSS 4.0
• NVIDIA в центре скандала с промышленным шпионажем
• Масштабная уязвимость в ключах биткоин-кошельков
• Провинившийся Binance и отправившийся на дно Sinbad
• Финальный удар по операторам LockerGoga и MegaCortex
🔥 Топ самых интересных CVE за ноябрь по версии компании T.Hunter:
• CVE-2023-5941: выполнение произвольного кода в ОС FreeBSD
• CVE-2023-5996/CVE-2023-5997: Use-after-free в компонентах/Garbage/Navigation Google Chrome
• CVE-2023-47640/CVE-2023-47629: повышение привилегий в DataHub
• CVE-2023-47444: удаленное выполнение кода на сервере в OpenCart
• CVE-2023-47585/CVE-2023-47584/CVE-2023-47586: многочисленные уязвимости в продуктах Fuji Electric
• CVE-2023-43612/CVE-2023-6045: уязвимости в OpenHarmony
• CVE-2023-6176: отказ в обслуживании в ядре Linux
• CVE-2023-32629: повышение привилегий в OverlayFS ядра Ubuntu
• Израильская ИИ-система «Евангелие» / Экстренное обновление Chrome / Жестокость вне закона
• Ноутбуки и лживая биометрия / Кибербез 2024: чего ждать? / Бил Гейтс предсказал «малину»
• Опасные рекламные данные / сколько стоит ликвидация атаки / 100 тысяч ключей от Google
• Каким будет VPN в России / Нет айтишников — нет эффективности / исторический запрет на ИИ
• CVSS 4.0 — новый стандарт / Кибервойска: мнение Минцифры / Двойной листинг и шантаж законом
#чтопроисходит #news
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2🤩2🔥1
Собираетесь ли вы развиваться и заниматься программированием на новогодних праздниках? Что именно будете делать?
Anonymous Poll
32%
Попробую освоить новые инструменты и подходы к разработке
5%
Приму участие в хакатонах
14%
Посмотрю фильмы и сериалы про IT
26%
Поработаю над собственными проектами — добавлю новую функциональность
39%
Почитаю книги и статьи по программированию — расширю кругозор
48%
Просто отдохну и наберусь сил
5%
Свой вариант (напишу в комментариях)
👍4❤1🥱1
Самые полезные каналы для программистов в одной подборке!
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
#️⃣C#
Библиотека шарписта
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие профильные каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
💼Каналы с вакансиями
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
#️⃣C#
Библиотека шарписта
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие профильные каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
💼Каналы с вакансиями
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
🤖Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
❤3👍3😁2🔥1
Business Logic Vulnerability_ Payment bypass.pdf
2.4 MB
Кажется, уже не надо никому доказывать, что уязвимости бизнес-логики выходят на первый план. Поэтому каждый райтап — на вес золота.
Vrushabh Doshi, Senior Security Engineer в GoKloud, делится опытом поиска и эксплуатации простых багов бизнес-логики.
👉 Читайте на Medium или в PDF
#writeup #pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
👍6🔥2