ПОСЛЕДНИЙ ДЕНЬ❗
КУРСЫ ПОДОРОЖАЮТ ЗАВТРА‼️
— ML за 34к вместо 44к + Python в подарок
— Математика → второй доступ в подарок
— Ранний доступ к AI-агентам с 15 сентября
— И МОЖНО УСПЕТЬ КУПИТЬ ВСЁ ДО ПОДОРОЖАНИЯ
👉 Proglib Academy
КУРСЫ ПОДОРОЖАЮТ ЗАВТРА‼️
— ML за 34к вместо 44к + Python в подарок
— Математика → второй доступ в подарок
— Ранний доступ к AI-агентам с 15 сентября
— И МОЖНО УСПЕТЬ КУПИТЬ ВСЁ ДО ПОДОРОЖАНИЯ
👉 Proglib Academy
🌚5
Вы тестируете GraphQL API и находите, что оно поддерживает __schema introspection. Вы видите тип User, в котором есть поле passwordHash, хотя в публичной документации оно не указано.
Попробовав запрос, вы получаете данные (см. на картинке).
Что это за проблема
#междусобойчик
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥2🌚1💯1
Правильный ответ:
Anonymous Quiz
58%
Недостаточное ограничение доступа в GraphQL (Excessive Data Exposure)
6%
CSRF в GraphQL
25%
Уязвимость NoSQL Injection
11%
SSRF через GraphQL
🤔3👾1
Специалист Digital Risk Protection — офис (Екатеринбург)
Архитектор систем ИБ — гибрид (Москва)
Методолог ИБ — от 200 000 ₽, офис (Москва)
Information Security Administrator — удаленно/офис (Рига/Будва/Барселона)
Архитектор информационной безопасности — от 170 000 до 217 500 ₽, удаленно (Москва)
#свежак
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1🔥1
Когда нужно быстро проверить сотни доменов на живые HTTP(S)-эндпоинты — без лишнего шума.
Что умеет:
amass, subfinder, assetfinderКак запустить:
1. Установка
go install github.com/tomnomnom/httprobe@latest
2. Проверка списка
cat domains.txt | httprobe > alive.txt
#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍1
SSRF — одна из самых опасных уязвимостей для облачных и микросервисных приложений. Она позволяет злоумышленнику превратить ваш сервер в «прокси» для атак на внутреннюю инфраструктуру.
Что разобрано в карточках:
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🔥2👍1
При тестировании часто нужен список поддоменов цели. Один из самых простых способов — использовать публичный сервис, который собирает данные из сертификатов.
Откройте crt.sh и вбейте домен цели, например:
%.example.com
Символ
% работает как wildcard — покажет все поддомены.Результаты выдаются в таблице. Можно скопировать руками или выгрузить в CSV/JSON, добавив параметр:
https://crt.sh/?q=%.example.com&output=json
Сервис часто показывает дубликаты или старые записи. Очистить список можно простым one-liner:
curl -s "https://crt.sh/?q=%.example.com&output=json" | jq -r '.[].name_value' | sort -u
Теперь список можно прогнать через
httprobe, httpx или любой другой тул, чтобы проверить, какие живые.crt.sh иногда показывает внутренние dev/test-домены, которые забыли закрыть. Часто именно они оказываются уязвимыми.#буст
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5🔥1