getsploit
جستجوی آنلاین اکسپلویت های منتشرشده از وبسایتهای :
Exploit-DB
metasploit
packetstorm
...
https://github.com/vulnersCom/getsploit
#pentest
#tool
#exploit
@sec_nerd
جستجوی آنلاین اکسپلویت های منتشرشده از وبسایتهای :
Exploit-DB
metasploit
packetstorm
...
https://github.com/vulnersCom/getsploit
#pentest
#tool
#exploit
@sec_nerd
کتابخانه لاراول که موقع ثبت نام به کاربر اعلام میکند که آیا پسورد انتخابی وی در دیتابیسهای هک شده وجود دارد یا نه!
https://github.com/DivineOmega/laravel-password-exposed-validation-rule
@sec_nerd
https://github.com/DivineOmega/laravel-password-exposed-validation-rule
@sec_nerd
حجت الاسلام والمسلمین حمید شهریاری معاون رییس قوه قضاییه و رییس مرکز آمار و فناوری اطلاعات قوه قضاییه، در خصوص آزمون نفوذ سامانهها و پایگاههای کلیه سازمانها و ارگانها، نکاتی را مطرح کرد.
وی با توجه به احتمال هک شدن سامانههای اینترنتی به همه مدیران سازمانها و نهادها توصیه کرد که از امنیت پایگاههای مورد استفاده خود مطمئن شوند.
شهریاری اضافه کرد: با توجه به ظرفیتی که به تائید این مرکز رسیده است از بستر محصولات امنیت داخلی، مانند کلاه سفید که جهت تست نفوذ و باگهای امنیتی طراحی شده است، کمک بگیرند.
معاون رئیس قوه قضاییه گفت: یکی از مهمترین عوامل موفقیت یک کسب و کار حفظ امنیت اطلاعات و کاهش ریسکهای امنیتی است. سامانه کلاه سفید بستری فراهم میآورد تا با حداقل هزینه، آسیبپذیریهای سامانه ها، کشف و برطرف شود.
رئیس مرکز آمار و فناوری قوه قضاییه تصریح کرد: سامانه کلاه سفید به نوعی طراحی شده که جوانان مستعد برای کشف باگهای امنیتی که اصطلاحاٌ به آنان هکرهای سفید گفته میشود، ثبت نام کنند و در مسابقههایی که از سوی این سامانه جهت کشف باگ پایگاههای مورد نظر صورت میگیرد، شرکت کنند و در صورت یافتن باگ، آن را اطلاع رسانی و در نهایت با همکاری داوران انتخابی از مرکز آپا دانشگاه صنعتی امیر کبیر، مهمترین باگها شناسایی و برگزیده میشوند و جوایزی به آنان اعطا میشود.
گفتنی است هکرهای سفید و نیز سازمانهای درخواست کننده برای بررسی امنیتی پایگاههای خود میتوانند جهت ثبت نام به نشانی https://www.kolahsefid.org که برای این فعالیت دارای مجوز رسمی از مقامات ذی صلاح است، مراجعه نمایند.
منبع:
https://fna.ir/bp0gw7
#news
#iran
#hackerone
#bugbounty
@sec_nerd
وی با توجه به احتمال هک شدن سامانههای اینترنتی به همه مدیران سازمانها و نهادها توصیه کرد که از امنیت پایگاههای مورد استفاده خود مطمئن شوند.
شهریاری اضافه کرد: با توجه به ظرفیتی که به تائید این مرکز رسیده است از بستر محصولات امنیت داخلی، مانند کلاه سفید که جهت تست نفوذ و باگهای امنیتی طراحی شده است، کمک بگیرند.
معاون رئیس قوه قضاییه گفت: یکی از مهمترین عوامل موفقیت یک کسب و کار حفظ امنیت اطلاعات و کاهش ریسکهای امنیتی است. سامانه کلاه سفید بستری فراهم میآورد تا با حداقل هزینه، آسیبپذیریهای سامانه ها، کشف و برطرف شود.
رئیس مرکز آمار و فناوری قوه قضاییه تصریح کرد: سامانه کلاه سفید به نوعی طراحی شده که جوانان مستعد برای کشف باگهای امنیتی که اصطلاحاٌ به آنان هکرهای سفید گفته میشود، ثبت نام کنند و در مسابقههایی که از سوی این سامانه جهت کشف باگ پایگاههای مورد نظر صورت میگیرد، شرکت کنند و در صورت یافتن باگ، آن را اطلاع رسانی و در نهایت با همکاری داوران انتخابی از مرکز آپا دانشگاه صنعتی امیر کبیر، مهمترین باگها شناسایی و برگزیده میشوند و جوایزی به آنان اعطا میشود.
گفتنی است هکرهای سفید و نیز سازمانهای درخواست کننده برای بررسی امنیتی پایگاههای خود میتوانند جهت ثبت نام به نشانی https://www.kolahsefid.org که برای این فعالیت دارای مجوز رسمی از مقامات ذی صلاح است، مراجعه نمایند.
منبع:
https://fna.ir/bp0gw7
#news
#iran
#hackerone
#bugbounty
@sec_nerd
خبرگزاری فارس
رییس مرکز آمار و فناوری اطلاعات قوه قضاییه: هکرهای سفید در مسابقه کشف باگ شرکت کنند
رییس مرکز آمار و فناوری اطلاعات قوه قضاییه گفت: جوانان مستعد برای کشف باگهای امنیتی که اصطلاحاٌ به آنان هکرهای سفید گفته میشود، در سامانه کلاه سفید ثبت نام کنند و در مسابقههایی که از سوی این سامانه جهت کشف باگ پایگاههای مورد نظر صورت میگیرد، شرکت کنند.
پنج روش برای دستیابی به ادمین دامین در شبکه داخلی
https://medium.com/@adam.toscher/top-five-ways-i-got-domain-admin-on-your-internal-network-before-lunch-2018-edition-82259ab73aaa
#windows
#network
#pivoting
#privesc
@sec_nerd
https://medium.com/@adam.toscher/top-five-ways-i-got-domain-admin-on-your-internal-network-before-lunch-2018-edition-82259ab73aaa
#windows
#network
#pivoting
#privesc
@sec_nerd
Medium
Top Five Ways I Got Domain Admin on Your Internal Network before Lunch (2018 Edition)
Yes it’s still easy to get Domain Admin “before lunch” as it was when I first started.
امنیت اطلاعات
حجت الاسلام والمسلمین حمید شهریاری معاون رییس قوه قضاییه و رییس مرکز آمار و فناوری اطلاعات قوه قضاییه، در خصوص آزمون نفوذ سامانهها و پایگاههای کلیه سازمانها و ارگانها، نکاتی را مطرح کرد. وی با توجه به احتمال هک شدن سامانههای اینترنتی به همه مدیران سازمانها…
سلام
احتمالا امروز بعد از دیدن این خبر شما هم سری به وب سایت کلاه سفید (معادل ایرانی hackerone) زدید که شرکتها و سازمانها قراره که وب سایتهای خودشون رو در ازای پرداخت جایزه و بصورت قانونی در معرض آزمایشات نفوذگرانی که هویت اونها در فرم ثبت نام با اطلاعاتی مثل کدملی و شماره تماس مشخص میشه، قرار بدن.
حالا در یک چنین طرحی، شناسایی هویت واقعی افراد چقدر موضوعیت داره برای من جای سوال هست!
نکته بعدی درصدهایی هست که وبسایت کلاه سفید از مبالغ جایزه برای خودش برمیداره. اگر سازمان یا شرکت درخواست کننده کل مبلغ رو یکجا قبل از شروع مسابقه پرداخت کنه، کلاه سفید ده درصد برمیداره!
اگر ۵۰ درصد رو بده کلاه سفید ۱۸ درصد کارمزد میگیره و اگر ۲۵ درصد رو شرکت پرداخت کنه کلاه سفید کل اون ۲۵ درصد رو بعنوان کارمزد برمیداره (حالا شما منطق این مقادیر رو اگر متوجه شدید به ما هم بگید)
خوب تا حالا تعداد شرکتها و سازمانهای درخواست دهنده دو رقمی نشده و روی ۹ تا مونده که امیدواریم اطلاعیه امروز قوه قضاییه (که خودش هم پیشقدم شده و ۴ میلیون هم جایزه گذاشته) یکمی رونق بده به این مسابقات.
خوب برای همین رقابتی که درگاه ملی قوه قضاییه هدف اون هست به آسیب پذیری از نوع RCE یک میلیون تومن و LFD و اینجکت هم ۵۰۰ هزار تومن پرداخت میشه و الی آخر که بعد از XSS دیگه مبلغ پرداختی در یک بازه قرار میگیره و به نوعی به تشخیص کارشناس کلاه سفید پول پرداخت میشه! (در هکر وان دسته بندی ها کمی متفاوت هست و در گروه های high و medium و .. جوایز از قبل بصورت دقیق مشخص هستن)
در بخش وضعیت گزارشات اما هنوز جای کار وجود داره. در هکر وان هکر میتونه ریپورت خودش رو با حفظ موارد امنیتی که برای شرکت مورد نظر مشکلی ایجاد نکنه و بعد از فیکس شدن مشکل، منتشر کنه و جزییاتی رو که بدست آورده به اشتراک بگذاره و این برای معرفی توانایی های هکر بصورت حرفه ای و احتمال بدست آوردن موقعیت های شغلی مناسب، مفید هست.
در خیلی از گزارشات کلاه سفید با عبارت Access Control Bugs به عنوان یک باگ برخورد میکنید که هیچ ایده ای به شما در خصوص اینکه مشکل چی بوده، نمیده!
علیرغم اینکه مبالغ جوایز برای باگهایی مثل RCE و SQLi کم هست ولی امیدواریم با ورود وبسایتها و سازمانهای بزرگ به این کارزار، شاهد پیشرفت امنیت سامانه های کشور باشیم.
#iran
@sec_nerd
احتمالا امروز بعد از دیدن این خبر شما هم سری به وب سایت کلاه سفید (معادل ایرانی hackerone) زدید که شرکتها و سازمانها قراره که وب سایتهای خودشون رو در ازای پرداخت جایزه و بصورت قانونی در معرض آزمایشات نفوذگرانی که هویت اونها در فرم ثبت نام با اطلاعاتی مثل کدملی و شماره تماس مشخص میشه، قرار بدن.
حالا در یک چنین طرحی، شناسایی هویت واقعی افراد چقدر موضوعیت داره برای من جای سوال هست!
نکته بعدی درصدهایی هست که وبسایت کلاه سفید از مبالغ جایزه برای خودش برمیداره. اگر سازمان یا شرکت درخواست کننده کل مبلغ رو یکجا قبل از شروع مسابقه پرداخت کنه، کلاه سفید ده درصد برمیداره!
اگر ۵۰ درصد رو بده کلاه سفید ۱۸ درصد کارمزد میگیره و اگر ۲۵ درصد رو شرکت پرداخت کنه کلاه سفید کل اون ۲۵ درصد رو بعنوان کارمزد برمیداره (حالا شما منطق این مقادیر رو اگر متوجه شدید به ما هم بگید)
خوب تا حالا تعداد شرکتها و سازمانهای درخواست دهنده دو رقمی نشده و روی ۹ تا مونده که امیدواریم اطلاعیه امروز قوه قضاییه (که خودش هم پیشقدم شده و ۴ میلیون هم جایزه گذاشته) یکمی رونق بده به این مسابقات.
خوب برای همین رقابتی که درگاه ملی قوه قضاییه هدف اون هست به آسیب پذیری از نوع RCE یک میلیون تومن و LFD و اینجکت هم ۵۰۰ هزار تومن پرداخت میشه و الی آخر که بعد از XSS دیگه مبلغ پرداختی در یک بازه قرار میگیره و به نوعی به تشخیص کارشناس کلاه سفید پول پرداخت میشه! (در هکر وان دسته بندی ها کمی متفاوت هست و در گروه های high و medium و .. جوایز از قبل بصورت دقیق مشخص هستن)
در بخش وضعیت گزارشات اما هنوز جای کار وجود داره. در هکر وان هکر میتونه ریپورت خودش رو با حفظ موارد امنیتی که برای شرکت مورد نظر مشکلی ایجاد نکنه و بعد از فیکس شدن مشکل، منتشر کنه و جزییاتی رو که بدست آورده به اشتراک بگذاره و این برای معرفی توانایی های هکر بصورت حرفه ای و احتمال بدست آوردن موقعیت های شغلی مناسب، مفید هست.
در خیلی از گزارشات کلاه سفید با عبارت Access Control Bugs به عنوان یک باگ برخورد میکنید که هیچ ایده ای به شما در خصوص اینکه مشکل چی بوده، نمیده!
علیرغم اینکه مبالغ جوایز برای باگهایی مثل RCE و SQLi کم هست ولی امیدواریم با ورود وبسایتها و سازمانهای بزرگ به این کارزار، شاهد پیشرفت امنیت سامانه های کشور باشیم.
#iran
@sec_nerd
گری دیویس ایرلندی که با نام Libertas نیز شناخته میشود به ۲۰ سال زندان محکوم شد!
گری ادمین وبسایت Silk Road (جاده ابریشم) در دارک نت بود. این وبسایت بزرگترین وبسایت فروش مواد مخدر در جهان بود که در سال ۲۰۱۳ توسط FBI از خط خارج شد و همچنین حساب بیت کوین به میزان ۳۳.۶ میلیون دلار نیز توسط FBI تصاحب شد.
موسس این سایت که Ross William نام داشت در سال ۲۰۱۳ به حبس ابد محکوم شده بود.
منبع:
https://www.hackread.com/silk-road-admin-pleads-guilty-20-years-jail-time/
#news
#darknet
#silkroad
#drugs
#usa
@sec_nerd
گری ادمین وبسایت Silk Road (جاده ابریشم) در دارک نت بود. این وبسایت بزرگترین وبسایت فروش مواد مخدر در جهان بود که در سال ۲۰۱۳ توسط FBI از خط خارج شد و همچنین حساب بیت کوین به میزان ۳۳.۶ میلیون دلار نیز توسط FBI تصاحب شد.
موسس این سایت که Ross William نام داشت در سال ۲۰۱۳ به حبس ابد محکوم شده بود.
منبع:
https://www.hackread.com/silk-road-admin-pleads-guilty-20-years-jail-time/
#news
#darknet
#silkroad
#drugs
#usa
@sec_nerd
HackRead
Silk Road Admin Pleads Guilty- Might Receive 20 Years Jail Time
It was long time coming.
اسکنر و اکسپلویت کننده باگ های آپلود فایل
https://github.com/almandin/fuxploider
#web
#pentest
#file_upload
@sec_nerd
https://github.com/almandin/fuxploider
#web
#pentest
#file_upload
@sec_nerd
👍1
نسخه رسمی tor browser برای اندروید منتشر شد
https://play.google.com/store/apps/details?id=org.torproject.torbrowser_alpha
#tor
#android
#darknet
@sec_nerd
https://play.google.com/store/apps/details?id=org.torproject.torbrowser_alpha
#tor
#android
#darknet
@sec_nerd
گوگل سرویس شبکه اجتماعی خود یعنی گوگل پلاس را از خط خارج میکند!
این تصمیم پس از این گرفته شد که کارشناسان این شرکت متوجه باگی در API گوگل پلاس شدند که منجر به لو رفتن دیتای خصوصی پروفایلهای بیش از ۵۰۰ هزار کاربر این شبکه اجتماعی شده است.
این خبر توسط بن اسمیت، کارمند و معاون بخش مهندسی گوگل اعلام شده است. وی افزود اپلیکیشن های ثالث با استفاده از این باگ توانسته اند اطلاعات خصوصی کاربران را بدست آورند.
این اطلاعات خصوصی شامل نام، ایمیل، شغل، جنسیت، سن، نام نمایشی و تاریخ تولد بوده است.
این باگ از مارس ۲۰۱۷ برطرف شده است اما احتمال وجود آن از سال ۲۰۱۵ در سرویس گوگل پلاس میرود.
اسمیت گفت طی ده ماه آینده (آگوست ۲۰۱۹) این سرویس تعطیل خواهد شد و کاربران تا آن زمان فرصت دارند اطلاعات خود را دانلود کنند.
https://www.blog.google/technology/safety-security/project-strobe/
https://www.zdnet.com/article/google-shuts-down-google-after-api-bug-exposed-details-for-over-500000-users/
#news
#google
#breach
@sec_nerd
این تصمیم پس از این گرفته شد که کارشناسان این شرکت متوجه باگی در API گوگل پلاس شدند که منجر به لو رفتن دیتای خصوصی پروفایلهای بیش از ۵۰۰ هزار کاربر این شبکه اجتماعی شده است.
این خبر توسط بن اسمیت، کارمند و معاون بخش مهندسی گوگل اعلام شده است. وی افزود اپلیکیشن های ثالث با استفاده از این باگ توانسته اند اطلاعات خصوصی کاربران را بدست آورند.
این اطلاعات خصوصی شامل نام، ایمیل، شغل، جنسیت، سن، نام نمایشی و تاریخ تولد بوده است.
این باگ از مارس ۲۰۱۷ برطرف شده است اما احتمال وجود آن از سال ۲۰۱۵ در سرویس گوگل پلاس میرود.
اسمیت گفت طی ده ماه آینده (آگوست ۲۰۱۹) این سرویس تعطیل خواهد شد و کاربران تا آن زمان فرصت دارند اطلاعات خود را دانلود کنند.
https://www.blog.google/technology/safety-security/project-strobe/
https://www.zdnet.com/article/google-shuts-down-google-after-api-bug-exposed-details-for-over-500000-users/
#news
#breach
@sec_nerd
Google
Project Strobe: Protecting your data, improving our third-party APIs, and sunsetting consumer Google+
Findings and actions from Project Strobe—a root-and-branch review of third-party developer access to Google account and Android device data and of our philosophy around apps’ data access.
امنیت اطلاعات
گوگل سرویس شبکه اجتماعی خود یعنی گوگل پلاس را از خط خارج میکند! این تصمیم پس از این گرفته شد که کارشناسان این شرکت متوجه باگی در API گوگل پلاس شدند که منجر به لو رفتن دیتای خصوصی پروفایلهای بیش از ۵۰۰ هزار کاربر این شبکه اجتماعی شده است. این خبر توسط بن اسمیت،…
نظر شخصی:
گوگل پلاس در برابر فیسبوک و توییتر هرگز فرصت خودنمایی پیدا نکرد و حذف این سرویس از خدمات گوگل شوک چندان بزرگی برای فضای مجازی به حساب نمیاد.
نظر یکی از کاربران توییتر در این خصوص جالب هست:
Google+ is shutting down.
This is like when a band announces they’re splitting up and your first reaction is, “oh, didn’t realise they were still going”
«مثل این هست که یک باند موسیقی اعلام میکنه که داره منحل میشه و اولین واکنش شما اینه : اوه، نمیدونستم هنوز هم داشتن کار میکردن!»
#news
#google
@sec_nerd
گوگل پلاس در برابر فیسبوک و توییتر هرگز فرصت خودنمایی پیدا نکرد و حذف این سرویس از خدمات گوگل شوک چندان بزرگی برای فضای مجازی به حساب نمیاد.
نظر یکی از کاربران توییتر در این خصوص جالب هست:
Google+ is shutting down.
This is like when a band announces they’re splitting up and your first reaction is, “oh, didn’t realise they were still going”
«مثل این هست که یک باند موسیقی اعلام میکنه که داره منحل میشه و اولین واکنش شما اینه : اوه، نمیدونستم هنوز هم داشتن کار میکردن!»
#news
@sec_nerd
دور زدن WAF با استفاده از افزونه Hackvertor در burpsuite
https://portswigger.net/blog/bypassing-wafs-and-cracking-xor-with-hackvertor
#web
#pentest
#waf
#burpsuite
@sec_nerd
https://portswigger.net/blog/bypassing-wafs-and-cracking-xor-with-hackvertor
#web
#pentest
#waf
#burpsuite
@sec_nerd
ابزار Cutter که یک رابط کاربری مناسب برای radare2 می باشد. رادار۲ ابزاری برای مهندسی معکوس است.
https://github.com/radareorg/cutter
#RE
#radare2
@sec_nerd
https://github.com/radareorg/cutter
#RE
#radare2
@sec_nerd
ایجاد و اجرای سرویس های مخفی onion با استفاده از داکر
(وب سرور nginx)
https://github.com/opsxcq/docker-tor-hiddenservice-nginx
#tor
#onion
#docker
@sec_nerd
(وب سرور nginx)
https://github.com/opsxcq/docker-tor-hiddenservice-nginx
#tor
#onion
#docker
@sec_nerd
GitHub
GitHub - opsxcq/docker-tor-hiddenservice-nginx: Easily setup a hidden service inside the Tor network
Easily setup a hidden service inside the Tor network - opsxcq/docker-tor-hiddenservice-nginx
هکرهای گروه تپندگان که با نفوذ به مانیتورهای فرودگاه مشهد و تبریز شناخته میشوند توسط پلیس فتا شناسایی و دستگیر شدند.
سردار سید کمال هادیان فر با بیان این خبر اعلام کرد هکرهای مورد اشاره تحویل مقام قضایی شده اند.
منبع:
https://www.seratnews.com/fa/news/434725/%D8%AF%D8%B3%D8%AA%DA%AF%DB%8C%D8%B1%DB%8C-%D8%B9%D8%A7%D9%85%D9%84%D8%A7%D9%86-%D8%AD%D9%85%D9%84%D9%87-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%D8%A8%D9%87-%D8%B4%D8%B1%DA%A9%D8%AA%E2%80%8C%D9%87%D8%A7%DB%8C-%D9%81%D8%B1%D9%88%D8%AF%DA%AF%D8%A7%D9%87%DB%8C-%D9%85%D8%B4%D9%87%D8%AF-%D9%88-%D8%AA%D8%A8%D8%B1%DB%8C%D8%B2
#news
#iran
#fata
@sec_nerd
سردار سید کمال هادیان فر با بیان این خبر اعلام کرد هکرهای مورد اشاره تحویل مقام قضایی شده اند.
منبع:
https://www.seratnews.com/fa/news/434725/%D8%AF%D8%B3%D8%AA%DA%AF%DB%8C%D8%B1%DB%8C-%D8%B9%D8%A7%D9%85%D9%84%D8%A7%D9%86-%D8%AD%D9%85%D9%84%D9%87-%D8%B3%D8%A7%DB%8C%D8%A8%D8%B1%DB%8C-%D8%A8%D9%87-%D8%B4%D8%B1%DA%A9%D8%AA%E2%80%8C%D9%87%D8%A7%DB%8C-%D9%81%D8%B1%D9%88%D8%AF%DA%AF%D8%A7%D9%87%DB%8C-%D9%85%D8%B4%D9%87%D8%AF-%D9%88-%D8%AA%D8%A8%D8%B1%DB%8C%D8%B2
#news
#iran
#fata
@sec_nerd
صراط نیوز | Seratnews.com
دستگیری عاملان حمله سایبری به شرکتهای فرودگاهی مشهد و تبریز
رئیس پلیس فتا به عملکرد این پلیس در حوزه سکه و مبارزه با التهابآفرینان پرداخت و اظهار داشت: هزار و ۳۸۱ سایت و کانال و گروه شناسایی شدند.
Forwarded from vulners
By the Way: MicroTik RouterOS < 6.43rc3 - Remote Root public exploit
By the Way is an exploit coded in C++ that enables a root shell on Mikrotik devices running RouterOS versions:
Longterm: 6.30.1 - 6.40.7
Stable: 6.29 - 6.42
Beta: 6.29rc1 - 6.43rc3
The exploit leverages the path traversal vulnerability CVE-2018-14847 to extract the admin password and create an "option" package to enable the developer backdoor. Post exploitation the attacker can connect to Telnet or SSH using the root user "devel" with the admin's password.
Download exploit!
By the Way is an exploit coded in C++ that enables a root shell on Mikrotik devices running RouterOS versions:
Longterm: 6.30.1 - 6.40.7
Stable: 6.29 - 6.42
Beta: 6.29rc1 - 6.43rc3
The exploit leverages the path traversal vulnerability CVE-2018-14847 to extract the admin password and create an "option" package to enable the developer backdoor. Post exploitation the attacker can connect to Telnet or SSH using the root user "devel" with the admin's password.
Download exploit!
حمله به سازوکارهای قدیمی رمزنگاری در اپلیکیشن های ColdFusion
https://www.synacktiv.com/posts/pentest/coldfusion-cfmx_compat-lolcryption.html
#coldfusion
#adobe
#java
@sec_nerd
https://www.synacktiv.com/posts/pentest/coldfusion-cfmx_compat-lolcryption.html
#coldfusion
#adobe
#java
@sec_nerd
رایت آپ بالابردن سطح دسترسی در سرویس AWS
https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/
#writeup
#amazon
#aws
#privesc
@sec_nerd
https://rhinosecuritylabs.com/aws/aws-privilege-escalation-methods-mitigation/
#writeup
#amazon
#aws
#privesc
@sec_nerd
Rhino Security Labs
AWS IAM Privilege Escalation – Methods and Mitigation
At Rhino Security Labs, our focus is AWS penetration testing and AWS security research. This AWS IAM shows privilege escalation in AWS and other clouds.