• В файле ниже собран весь материал, который был опубликован в этом посте.
#web #hack
Please open Telegram to view this post
VIEW IN TELEGRAM
• История обнаружения XSS-уязвимости на крупнейшем шахматном сайте интернета со 100 миллионами участников – Chess.com
#ИБ #web
Please open Telegram to view this post
VIEW IN TELEGRAM
• Commands, Payloads and Resources for the OffSec Certified Professional Certification (OSCP).
- Basics;
- Information Gathering;
- Vulnerability Analysis;
- Web Application Analysis;
- Database Assessment;
- Password Attacks;
- Exploitation Tools;
- Post Exploitation;
- Exploit Databases;
- CVEs;
- Payloads;
- Wordlists;
- Social Media Resources;
- Commands.
#OSCP #CheatSheet
Please open Telegram to view this post
VIEW IN TELEGRAM
• Это уже 17 номинация по самым значимым исследованиям веб-безопасности. Вас ждут топ-10 техник веб-хакинга 2023 года, с которыми можно ознакомиться по ссылкам ниже:
- Smashing the state machine: the true potential of web race conditions
- Exploiting Hardened .NET Deserialization
- SMTP Smuggling - Spoofing E-Mails Worldwide
- PHP filter chains: file read from error-based oracle
- Exploiting HTTP Parsers Inconsistencies
- HTTP Request Splitting vulnerabilities exploitation
- How I Hacked Microsoft Teams and got $150,000 in Pwn2Own
- From Akamai to F5 to NTLM... with love
- Cookie Crumbles: Breaking and Fixing Web Session Integrity
- can I speak to your manager? hacking root EPP servers to take control of zones
• А вот по этим ссылкам можно ознакомиться с прошлогодним материалом:
- Top 10 Web Hacking Techniques of 2023;
- Top 10 Web Hacking Techniques of 2022;
- Top 10 Web Hacking Techniques of 2021;
- Top 10 Web Hacking Techniques of 2020;
- Top 10 Web Hacking Techniques of 2019;
- Top 10 Web Hacking Techniques of 2018;
- Top 10 Web Hacking Techniques of 2017.
#Web #Hack
Please open Telegram to view this post
VIEW IN TELEGRAM
• What are LLMs?
• Interactive Interfaces and Use Cases;
• Security Considerations;
• Protecting Against LLM Attacks;
• Exploiting LLM APIs with excessive agency;
• Exploiting vulnerabilities in LLM APIs;
• Indirect prompt injection;
• Exploiting insecure output handling in LLMs;
• LLM Zero-Shot Learning Attacks;
• LLM Homographic Attacks;
• LLM Model Poisoning with Code Injection;
• Chained Prompt Injection;
• Conclusion;
• References;
• Security Researchers.
#web #LLM
Please open Telegram to view this post
VIEW IN TELEGRAM
• Огромная коллекция различного материала на тему усиления безопасности. От подробных гайдов до необходимых инструментов и бенчмарков:
• Security Hardening Guides and Best Practices;
— Hardening Guide Collections;
— GNU/Linux;
- Red Hat Enterprise Linux - RHEL;
- CentOS;
- SUSE;
- Ubuntu;
— Windows;
— macOS;
— Network Devices;
- Switches;
- Routers;
- IPv6;
- Firewalls;
— Virtualization - VMware;
— Containers - Docker - Kubernetes;
— Services;
- SSH;
- TLS/SSL;
- Web Servers;
- Mail Servers;
- FTP Servers;
- Database Servers;
- Active Directory;
- ADFS;
- Kerberos;
- LDAP;
- DNS;
- NTP;
- NFS;
- CUPS;
— Authentication - Passwords;
— Hardware - CPU - BIOS - UEFI;
— Cloud;
• Tools;
— Tools to check security hardening;
- GNU/Linux;
- Windows;
- Network Devices;
- TLS/SSL;
- SSH;
- Hardware - CPU - BIOS - UEFI;
- Docker;
- Cloud;
— Tools to apply security hardening;
- GNU/Linux;
- Windows;
- TLS/SSL;
- Cloud;
— Password Generators;
• Books;
• Other Awesome Lists;
— Other Awesome Security Lists.
#ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
• Эксперты Лаборатории Касперского составили рейтинг уязвимостей в веб-приложениях, отражающий взгляд на этот вопрос через призму многолетнего опыта в деле анализа защищенности веб-приложений.
• Недостатки контроля доступа;
• Раскрытие чувствительной информации;
• Подделка межсерверных запросов (SSRF);
• Внедрение операторов SQL;
• Межсайтовое выполнение сценариев (XSS);
• Недостатки аутентификации;
• Небезопасная конфигурация;
• Недостаточная защита от перебора пароля;
• Слабый пароль пользователя;
• Использование компонентов с известными уязвимостями.
#Отчет #Web
Please open Telegram to view this post
VIEW IN TELEGRAM
• В этом материале описан протокол TLS и его роль в вебе. Статья состоит из двух частей. В первой поговорим о защите соединения: от чего и как защищаемся, почему именно так, а не иначе, сколько и каких ключей для этого нужно, и разберёмся с системой сертификатов; а в конце создадим свой сертификат и посмотрим, как его использовать для разработки. Во второй части обсудим, как это дело реализуется в протоколе TLS и разберём формат TLS-пакетов по байтам.
• Предполагается, что вы что-то знаете о симметричном, асимметричном шифровании и электронной подписи:
#web #tls
Please open Telegram to view this post
VIEW IN TELEGRAM
• В этом ролике подробно описаны механизмы аутентификации, чем опасны их уязвимости и как можно их защитить. Также автор рассказывает, как работают механизмы аутентификации и разбирает на примерах прохождение лаб на платформе — https://portswigger.net/web-security
• 0:00 — уязвимости аутентификации;
• 0:22 — аутентификация это / типы аутентификации;
• 1:30 — как возникают уязвимости / последствия уязвимостей;
• 2:16 — как используются уязвимости на практике / Лаба 1;
• 6:18 — как используются уязвимости на практике / Лаба 2;
• 8:45 — как защитить механизмы аутентификации;
• 10:32 — где проходить лаборатории.
#web
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
уязвимости аутентификации | ЧЕМ ОПАСНЫ и ЧТО ВАЖНО ЗНАТЬ? | безопасность web приложений
как обеспечить безопасность веб приложений и сетевых систем с помощью механизма аутентификаций? как защитить механизмы аутентификации?
Привет! На связи Mekan aка MrCyberSec.
В этом ролике я расскажу вам о том, как работают механизмы аутентификации, чем…
Привет! На связи Mekan aка MrCyberSec.
В этом ролике я расскажу вам о том, как работают механизмы аутентификации, чем…
• В этой подборке собраны различные сканеры, которые позволят повысить безопасность Вашего веб-ресурса. Описание каждого инструменты Вы найдете по соответствующей ссылке. Что касается подборки, то она составлена в определенном порядке: от наиболее популярных решений, к менее известным. Не забудьте сохранить пост в избранное!
• General Purpose Web Scanners:
- ZAP + ZAP Extensions;
- Hetty;
- W3af;
- Arachni;
- Astra;
- Wapiti;
- Skipfish;
- Sitadel;
- Taipan;
- Vega;
- Reaper;
- Tuplar;
- Ugly-duckling;
- BrowserBruter;
- Pākiki.
• Infrastructure Web Scanners:
- Nuclei + Nuclei Templates;
- Tsunami;
- Nikto;
- Striker;
- Jaeles.
• Fuzzers / Brute Forcers:
- dirsearch;
- Ffuf;
- gobuster;
- Wfuzz;
- feroxbuster;
- rustbusterv;
- vaf;
- radamsa.
• CMS Web Scanners:
- WPscan;
- Volnx;
- Droopescan;
- CMSScan;
- JoomScan;
- Clusterd.
• API Web Scanners:
- Cherrybomb;
- Akto;
- Automatic API Attack Tool;
- VulnAPI.
• Specialised Scanners:
- Sqlmap;
- XSStrike;
- Commix;
- Dalfox;
- Xsscrapy;
- Domdig.
#Пентест #Web
Please open Telegram to view this post
VIEW IN TELEGRAM