Наш подписчик поделился своим опытом работы над клиентским SDK, когда случайно наткнулся на свои собственные ключи доступа к платёжному провайдеру в открытом репозитории:
«Сначала я подумал, что тестовый аккаунт заблокирован, но логи CI показали, что в переменную PAYMENT_API_KEY подставляется строка
sk_live_XXXXXXXXXXXXXXXXXXXXXXXX, а не мой тестовый ключ. Я открыл последние изменения и обнаружил, что файл config.js с живыми ключами был случайно закоммичен:
module.exports = {
apiKey: process.env.PAYMENT_API_KEY || 'sk_live_XXXXXXXXXXXXXXXXXXXXXXXX',
apiSecret: 'sh_live_YYYYYYYYYYYYYYYYYYYY'
};
Оказалось, что .gitignore был настроен только на config.prod.js, а я работал с config.js. Репозиторий был публичным несколько недель и успел получить форки и звёзды.»
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔3👍1
Proglib Academy — это место, где вы превращаете теорию в практику. Здесь ваши знания становятся проектами для портфолио, а вы — более уверенным специалистом.
Выберите курс, который поможет сделать следующий шаг ⬇️
🚀 Для тех, кто начинает путь в IT:
— Основы IT для непрограммистов
— Программирование на Python (обновлённый)
— Frontend-разработчик с нуля: HTML, CSS, JavaScript
🧠 Для будущих и настоящих Data Scientist'ов:
— ML для старта в Data Science (начинается в сентябре)
— Базовые модели ML и приложения
— Математика для Data Science
— AI-агенты для DS-специалистов (скоро второй поток)
🛠️ Для опытных разработчиков, готовых к росту:
— Алгоритмы и структуры данных
— Архитектуры и шаблоны проектирования
Независимо от вашей цели, у нас есть курс, который поможет её достичь. Переходите в Proglib Academy, выбирайте свой путь и инвестируйте в навыки, которые всегда будут в цене!
Выберите курс, который поможет сделать следующий шаг ⬇️
🚀 Для тех, кто начинает путь в IT:
— Основы IT для непрограммистов
— Программирование на Python (обновлённый)
— Frontend-разработчик с нуля: HTML, CSS, JavaScript
🧠 Для будущих и настоящих Data Scientist'ов:
— ML для старта в Data Science (начинается в сентябре)
— Базовые модели ML и приложения
— Математика для Data Science
— AI-агенты для DS-специалистов (скоро второй поток)
🛠️ Для опытных разработчиков, готовых к росту:
— Алгоритмы и структуры данных
— Архитектуры и шаблоны проектирования
Независимо от вашей цели, у нас есть курс, который поможет её достичь. Переходите в Proglib Academy, выбирайте свой путь и инвестируйте в навыки, которые всегда будут в цене!
🔥3
Lulzbuster — это максимально быстрый инструмент для перебора директорий и файлов, написанный на C. Без лишнего софта, в один бинарь — и уже летит.
Какие возможности:
— Поиск скрытых директорий и файлов, на которые нет ссылок
— Фильтрация по статус-кодам, длине, редиректам
— Поддержка прокси, многопоточности и wordlist’ов с расширениями
— Умный режим (-S) для устранения мусора и фолсов
— Поддержка логирования и output в stdout или файл
Пример:
lulzbuster -u https://target.com -w common.txt -x php,zip,bak -t 40 -S
Подходит для багбаунти, внутреннего аудита и CTF
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
❤5🔥2⚡1
Многие забывают, что компрометация может произойти ещё на стадии разработки или сборки.
Что в карточках:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
Please open Telegram to view this post
VIEW IN TELEGRAM
💯6🔥2👾1
Как раньше назывался Wireshark?
Anonymous Quiz
7%
EtherPeek
53%
NetSniffer
16%
Ethereal
24%
PacketShark
🤔4🔥2
Эти инструменты помогут вам поддерживать высокое качество кода, повысить безопасность и минимизировать количество багов на ранних стадиях разработки.
Платформа для анализа качества кода, которая находит баги, уязвимости и нарушенные стандарты безопасности, улучшая защищенность приложения.
Инструмент для поиска уязвимостей с помощью паттернов в коде. Поддерживает более 30 языков и помогает быстро обнаруживать небезопасные практики.
Линтер для Java, который анализирует стиль и безопасность кода, помогает выявлять уязвимости, например, неправильные уровни доступа или устаревшие библиотеки.
Инструмент для C/C++, который обнаруживает ошибки и уязвимости, не выявляемые компиляторами, и помогает повышать безопасность кода на низком уровне.
Инструмент для поиска багов и уязвимостей, таких как неправильная обработка исключений или небезопасный доступ, с поддержкой различных языков программирования.
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤2🔥1
Вы тестируете веб-приложение, использующее cookies для хранения сессионных данных. При проверке настроек cookies вы обнаруживаете, что следующие параметры сессии настроены неправильно:
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🤔4❤3
Главный инженер-эксперт по ИБ — офис (Москва)
Системный инженер (пентест) — удаленно (Екатеринбург)
Старший инженер SOC — от 195 000 ₽, удаленно (Москва)
Pentest/Appsec Specialist — от 3 000 до 4 500 $, удаленно (Тбилиси)
Специалист по ИБ (SOC) — от 250 000 ₽, удаленно (Москва)
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👾1
При тестировании XSS часто упираешься в CSP, который «должен» блокировать вредный JS. Но на практике политики пишут с дырками.
В DevTools → Network → Response Headers найди
Content-Security-Policy.Смотрите на
script-src и default-src. Особое внимание — на:*.example.com (wildcard может дать доступ к тестовым или уязвимым поддоменам)unsafe-inline (позволяет вставлять inline-скрипты)Используйте разрешённые домены для подгрузки своих payload’ов через:
Если CSP разрешает
scripts.example.com, а у вас есть контроль над тестовым поддоменом test.scripts.example.com, можно разместить там свой payload.js и загрузить его.Такой подход помогает найти обходы, которые пропускают автоматические сканеры.
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3❤2🔥1