🤦♂️ Тут такое дело, у OWASP взломали один из веб-сервисов. Такая вот злая ирония — организация, которая обучает защите веба, сама пострадала от кривых рук своих разработчиков или админов.
👨💻 Один из старых сайтов был фигово сконфигурирован, что и стало причиной утечки резюме членов OWASP, поданных в период с 2006-го по 2014-й годы.
Причиной взлома стал риск A05:2021-Security Misconfiguration из OWASP Top10 Web Application Risks, а также другие риски, если копать глубже.
#security
Причиной взлома стал риск A05:2021-Security Misconfiguration из OWASP Top10 Web Application Risks, а также другие риски, если копать глубже.
#security
Please open Telegram to view this post
VIEW IN TELEGRAM
😁17👏3😢3👍2
😎 Какие, по вашему мнению, баги есть в приведенном коде и как их проэксплуатировать? 👇
#вопросы_для_самопроверки
#вопросы_для_самопроверки
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🤔3❤2
🤯 От DOM XSS до Account Takeover: $8000 за многоэтапную уязвимость, которую можно проэксплуатировать в один клик
🔹 Часть 1. Понимание процесса входа в систему OAuth и начальной поверхности атаки
🔹 Часть 2. Использование уязвимости и повышение до захвата учетной записи в один клик
🔹 Часть 1. Понимание процесса входа в систему OAuth и начальной поверхности атаки
🔹 Часть 2. Использование уязвимости и повышение до захвата учетной записи в один клик
❤4👍1
🙇♂️ Шпаргалка, в которой вы найдете расширенные запросы для SQL-инъекций всех типов.
📌 Прочитав руководства, вы научитесь:
☑️ Находить точку инъекции
☑️ Понимать поведения веб-приложения
☑️ Отправлять запросы на перебор
☑️ Понимать WAF и способы его обхода
☑️ Дампить базу данных
👩💻 GitHub
#bugbounty #cheatsheet #pentest
📌 Прочитав руководства, вы научитесь:
☑️ Находить точку инъекции
☑️ Понимать поведения веб-приложения
☑️ Отправлять запросы на перебор
☑️ Понимать WAF и способы его обхода
☑️ Дампить базу данных
#bugbounty #cheatsheet #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - kleiton0x00/Advanced-SQL-Injection-Cheatsheet: A cheat sheet that contains advanced queries for SQL Injection of all types.
A cheat sheet that contains advanced queries for SQL Injection of all types. - kleiton0x00/Advanced-SQL-Injection-Cheatsheet
👍4❤3🔥1
Разбираемся, кто такой специалист по безопасной разработке, какие требования к нему предъявляют работодатели, сколько специалисты этой профессии сегодня зарабатывают и куда можно пойти учиться на AppSec-специалиста.
И самое главное: чем «аппсеки» отличаются от «девсекопсов», «девопсов», пентестеров, аналитиков и разработчиков.
#career #appsec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍1🥱1
💬 Присылайте ссылку или просто напишите в комментах в стиле «был пост про …»👇
Please open Telegram to view this post
VIEW IN TELEGRAM
🥱3🥰2
🌐 90+ дашбордов для OSINT и глобального мониторинга
Подборка для OSINT-аналитиков из Бастиона.
👉 Читать
#OSINT
Подборка для OSINT-аналитиков из Бастиона.
👉 Читать
#OSINT
Хабр
90+ дашбордов для OSINT и глобального мониторинга
Наблюдение за тем, какие изменения происходят на планете в масштабах стран и континентов — настоящий источник вдохновения для OSINT-аналитиков. Специалисты Бастиона поделились актуальным списком...
👍2🥰2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8🔥4👾2
Гость подкаста — Филипп (Impact) Никифоров — рассказал о своем увлекательном пути в сфере безопасности, активностях на Antichat, реверсе и поиске мобильных багов.
⏳ Таймкоды:
02:13 — начало и реверс приложений в 13 лет
07:40 — активности на antichat
10:50 - ушел из колледжа и начал заниматься bug bounty
16:50 — обидные дубликаты в репорты Сергея Тошина (bagipro)
18:40 — трудоустройство в Positive Technologies
28:02 — текущие идеи и процессы разработки
29:43 — caido, burpsuite и что нам от этого ожидать
35:43 — история появления проекта reFlutter
43:50 — PTSwarm и ценность участия в этих активностях
46:51 — сертификация специалистов и отношение к этому
49:13 — AI и его влияние на индустрию
54:23 — советы слушателям подкаста и как не выгорать от того что делаешь
💬 А вы реверсили приложения в 13 лет?
👍 — конечно
#podcasts
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Филипп (Impact) Никифоров - 500к в месяц на bug bounty, автор reFlutter и программист (Ep. 2)
Наш очередной гость – автор канала https://t.iss.one/postImpact , разработчик, багхантер и просто классный человек. Мы постарались поговорить о его увлекательном пути в сфере безопасности, активностях на Antichat, реверсе и поиске мобильных багов.
Тайм-коды:…
Тайм-коды:…
🔥9👍3🤔3⚡1❤1
Forwarded from Библиотека программиста | программирование, кодинг, разработка
This media is not supported in your browser
VIEW IN TELEGRAM
🔄 Проектирование безопасных систем: шпаргалка для разработчика
🔹 Аутентификация
🔹 Авторизация
🔹 Шифрование
🔹 Уязвимости
🔹 Аудит и комплаенс
🔹 Сетевая безопасность
🔹 Безопасность рабочих станций
🔹 Реагирование на инциденты
🔹 Безопасность контейнеров
🔹 Безопасность API
🔹 Управление сторонним софтом (сторонними пакетами)
🔹 Восстановление после инцидентов
👉 Источник
#инфографика
🔹 Аутентификация
🔹 Авторизация
🔹 Шифрование
🔹 Уязвимости
🔹 Аудит и комплаенс
🔹 Сетевая безопасность
🔹 Безопасность рабочих станций
🔹 Реагирование на инциденты
🔹 Безопасность контейнеров
🔹 Безопасность API
🔹 Управление сторонним софтом (сторонними пакетами)
🔹 Восстановление после инцидентов
👉 Источник
#инфографика
Please open Telegram to view this post
VIEW IN TELEGRAM
💬 А у вас есть подобный чек-лист? С чего вы начинаете поиск багов?
#pentest #bugbounty
Please open Telegram to view this post
VIEW IN TELEGRAM
👍11❤2
Гость подкаста — Алексей Синцов, у которого 20+ лет опыта в инфосеке. Алексей закончил Санкт-Петербургский политех по специальности «Информационная безопасность компьютерных систем».
И с 2001 года занимается практическими вопросами в области анализа безопасности, поиска уязвимостей и разработки эксплойтов (JIT-SPRAY, ROP и т. д). Он так же является сооснователем группы DEF CON - DCG7812 и организатором конференции Zeronights.
⏳ Таймкоды:
01:50 — Как давно в этой сфере?
03:27 — С чего все началось?
09:03 — Университетская жизнь
10:50 — Стажировка у Ильи Медведовского
14:03 — Buffer overflow и Iphone 2 в качестве реварда
15:10 — Дорога к докладам на blackhat
27:29 — Переход из исследователя в сотрудника и руководителя
35:20 — Сокращенный рабочий день в COVID и успехи на Bugbounty
43:00 — Менеджмент bug bounty программы
53:04 — Важные скиллы для исследователя
56:23 — Метрики в bug bounty с точки зрения бизнеса
1:04:55 — Роль пентестов в текущих реалиях
1:14:59 — Пути улучшения скиллов в ИБ
1:17:05 — Профессиональное выгорание и как с этим справляться
1:21:47 — Важность сертификаций в ИБ
#podcasts
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Алексей Синцов - путь от исследователя до директора по безопасности (Ep.1)
В нашем первом выпуске Responsible Disclosure Podcast мы решили пригласить человека, который имеет опыт в cyber security более 20 лет. Алексей закончил Санкт-Петербургский государственный политехнический университет по специальности "Информационная безопасность…
👍4
🥷 Хотите научиться ломать приложения со сложным управлением сессиями? Ловите пример уязвимого приложения и видео с его разбором.
Первоначальная цель проекта — научиться правильно настраивать Burp Suite, но не стесняйтесь экспериментировать и усложнять задачу.
#bugbounty #pentest
Первоначальная цель проекта — научиться правильно настраивать Burp Suite, но не стесняйтесь экспериментировать и усложнять задачу.
#bugbounty #pentest
👍8🥱1
🚀 Многие багхантеры закрывают на это глаза, но это может нарушить правила программы и ваше поведение примут за реальный инцидент.
👉 Читать
#bugbounty #tips #tools
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM