#tools
🔧 GoTestWAF — инструмент для тестирования различных нагрузок и возможностей обхода WAF.
https://proglib.io/w/31c7995c
🔧 GoTestWAF — инструмент для тестирования различных нагрузок и возможностей обхода WAF.
https://proglib.io/w/31c7995c
GitHub
GitHub - wallarm/gotestwaf: An open-source project in Golang to asess different API Security tools and WAF for detection logic…
An open-source project in Golang to asess different API Security tools and WAF for detection logic and bypasses - wallarm/gotestwaf
#devsecops #devops
Руководитель направления по построению процессов безопасной разработки в Positive Technologies Тимур Гильмуллин рассматривает концепцию DevSecOps в целом и разбирает, что она дает бизнесу, разработчикам, DevOps-инженерам и безопасникам, какие инструменты можно при этом использовать и насколько трудоемко их внедрение.
https://proglib.io/w/dae3bb45
Руководитель направления по построению процессов безопасной разработки в Positive Technologies Тимур Гильмуллин рассматривает концепцию DevSecOps в целом и разбирает, что она дает бизнесу, разработчикам, DevOps-инженерам и безопасникам, какие инструменты можно при этом использовать и насколько трудоемко их внедрение.
https://proglib.io/w/dae3bb45
Хабр
Безопасная разработка: какую часть Sec занимает в DevSecOps
Всем привет! Меня зовут Тимур Гильмуллин , я руководитель направления по построению процессов безопасной разработки в компании Positive Technologies. Раньше я работал в DevOps-отделе, где инженеры...
#pentest #security
Разбираем распространенные уязвимости в Java и способы их устранения.
https://proglib.io/w/e82307eb
Разбираем распространенные уязвимости в Java и способы их устранения.
https://proglib.io/w/e82307eb
Medium
Common vulnerabilities in Java and how to fix them
30 vulnerabilities to look out for in Java applications: Arbitrary file writes, directory traversal, deserialization, and more…
👍2
#pentest #practice #bugboounty
Воркшоп по поиску и реализации различных вариантов атаки HTTP Request Smuggling (HRS).
https://proglib.io/w/05b5c98b
Воркшоп по поиску и реализации различных вариантов атаки HTTP Request Smuggling (HRS).
https://proglib.io/w/05b5c98b
gosecure.github.io
HTTP Request Smuggling Workshop
This workshop provides an overview of the latest research on HTTP Request Smuggling (HRS). HTTP1, HTTP2, WebSocket, h2c and more.
#bugbounty #tip
Несколько простых, но действенных советов по анализу JS-файлов, которые позволят найти ключевую информацию.
Несколько простых, но действенных советов по анализу JS-файлов, которые позволят найти ключевую информацию.
#forensic
Практические лаборатории и учебный материал по цифровой криминалистике.
https://proglib.io/w/29be50c6
Практические лаборатории и учебный материал по цифровой криминалистике.
https://proglib.io/w/29be50c6
GitHub
GitHub - frankwxu/digital-forensics-lab: Free hands-on digital forensics labs for students and faculty
Free hands-on digital forensics labs for students and faculty - frankwxu/digital-forensics-lab
👍1
#devsecops
DevSecOps by Swordfish Security
Юрий Сергеев, основатель и управляющий партнер в Swordfish Security, делится взглядом на вызовы при построении DevSecOps, рассказывает о той степени автоматизации, которой удалось достичь на основе анализа и трансформации процессов разработки защищенного ПО.
➖Часть 1
➖Часть 2
DevSecOps by Swordfish Security
Юрий Сергеев, основатель и управляющий партнер в Swordfish Security, делится взглядом на вызовы при построении DevSecOps, рассказывает о той степени автоматизации, которой удалось достичь на основе анализа и трансформации процессов разработки защищенного ПО.
➖Часть 1
➖Часть 2
Хабр
DevSecOps by Swordfish Security. Часть первая
Привет! Меня зовут Юрий Сергеев, я основатель и управляющий партнер в Swordfish Security. С 2017 наша компания активно занимается проблематикой построения процессов разработки защищенного ПО (Secure...
#pentest #tools
Обзор инструментов для теннелирования в исследуемую сеть в ходе пентеста.
https://proglib.io/w/f2ad3091
Обзор инструментов для теннелирования в исследуемую сеть в ходе пентеста.
https://proglib.io/w/f2ad3091
ZeroSec - Adventures In Information Security
Tunnelling For Offensive Security
One thing that comes up a lot when it comes to red teaming, penetration testing and breaching a network is being able to proxy traffic into multiple environments.
#pentest #tools
Пишем инструмент на Python для проведения Brute Force атак.
https://proglib.io/w/e1d80e26
Пишем инструмент на Python для проведения Brute Force атак.
https://proglib.io/w/e1d80e26
Medium
Creating Lists for Brute Force Attacks Using Python
This blog is intended for EDUCATIONAL purposes only. Do not attempt a Brute Force attack unless given explicit permission to do so.
#news
Представлен новый релиз Mobile Security Testing Guide (MSTG). Тезисно об изменениях:
➖Replace Outdated Drozer when Possible
➖Update iOS Binary Protection Checks
➖iOS Debugging Symbols Inspection
➖Add APK Signature Scheme (v4)
➖Add Patching Example for Debugging iOS Apps
➖Add check for JWT Claim
➖Add section Loaded Native Libraries
➖Add Visual Studio App Center
➖Add Privacy Labels and Rework Privacy Chapter
https://proglib.io/w/19146c72
Представлен новый релиз Mobile Security Testing Guide (MSTG). Тезисно об изменениях:
➖Replace Outdated Drozer when Possible
➖Update iOS Binary Protection Checks
➖iOS Debugging Symbols Inspection
➖Add APK Signature Scheme (v4)
➖Add Patching Example for Debugging iOS Apps
➖Add check for JWT Claim
➖Add section Loaded Native Libraries
➖Add Visual Studio App Center
➖Add Privacy Labels and Rework Privacy Chapter
https://proglib.io/w/19146c72
GitHub
GitHub - OWASP/mastg: The OWASP Mobile Application Security Testing Guide (MASTG) is a comprehensive manual for mobile app security…
The OWASP Mobile Application Security Testing Guide (MASTG) is a comprehensive manual for mobile app security testing and reverse engineering. It describes technical processes for verifying the OWA...
#security #pentest
Глубокое исследование на тему того, почему открытый сокет Docker в Linux предоставляет хосту root-доступ.
https://proglib.io/w/425a1cb8
Глубокое исследование на тему того, почему открытый сокет Docker в Linux предоставляет хосту root-доступ.
https://proglib.io/w/425a1cb8
Quarkslab
Why is Exposing the Docker Socket a Really Bad Idea?
#news
Если вы уже обновили Java-проекты с библиотекой log4j и спите спойно, сделайте это еще раз. Кстати, это не первый разработчик софта, который выпускает недопатчи. Читайте другие новости в традиционных недельных выпусках от «Лаборатория Касперского» и Jet CSIRT.
Если вы уже обновили Java-проекты с библиотекой log4j и спите спойно, сделайте это еще раз. Кстати, это не первый разработчик софта, который выпускает недопатчи. Читайте другие новости в традиционных недельных выпусках от «Лаборатория Касперского» и Jet CSIRT.
Хабр
Security Week 51: две новые уязвимости в log4j
На прошлой неделе к изначальной уязвимости в логгере Apache log4j добавились еще две. Помимо исходной CVE-2021-44228 , была обнаружена дыра CVE-2021-45046 . По сути, исходный патч в версии log4j 2.15...
🎉1
#tools #guide #OSINT
В ходе разведки зачастую не составляет проблем получить некоторую информацию о сотрудниках целевой организации, но для дальнейших этапов этого недостаточно.
Необходимо эту информацию конвертировать в возможные гипотезы (имена пользователей веб-приложения X). Поможет в этом данное руководство, в котором лаконично собрана необходимая информация.
В ходе разведки зачастую не составляет проблем получить некоторую информацию о сотрудниках целевой организации, но для дальнейших этапов этого недостаточно.
Необходимо эту информацию конвертировать в возможные гипотезы (имена пользователей веб-приложения X). Поможет в этом данное руководство, в котором лаконично собрана необходимая информация.
