📖 GPEN GIAC Certified Penetration Tester All-in-One Exam Guide.

• Дата выхода: 5 Ноября 2020 года.
• Рейтинг: ⭐️⭐️⭐️⭐️⭐️ (5 out of 5)
• Цена в онлайн магазине: 36$ или 2664₽.

• Подробное описание книги.

• VT.

Covers every topic on the exam, including:
• Pre-engagement and planning activities;
• Reconnaissance and open source intelligence gathering;
• Scanning, enumerating targets, and identifying vulnerabilities;
• Exploiting targets and privilege escalation;
• Password attacks;
• Post-exploitation activities, including data exfiltration and pivoting;
• PowerShell for penetration testing;
• Web application injection attacks;
• Tools of the trade: Metasploit, proxies, and more;

🧩 Софт для чтения.

#GPEN #Eng

​Отслеживание новых целей для атаки

Каждое сканирование, которое вы выполняете с помощью amass, автоматически сохраняется на компьютере, на котором вы его запустили. Затем, если вы снова запустите ту же проверку, amass будет отслеживать любые изменения, произошедшие с момента вашего последнего сканирования.

Наиболее очевидный способ использовать эту функцию-определить, какие поддомены появились с момента вашего последнего сканирования. Например, вы выполняли ранее сканирование:

amass enum -d vimeo.com

Сейчас прошло несколько месяцев и если снова выполнить это сканирование, а затем прописать

amass track -d vimeo.com

то мы сможем увидеть все, что изменилось за эти месяцы. Это позволяет нам сосредоточить внимание на свежих целях, которые с большей вероятностью будут уязвимы.

#web #tools #recon

https://grafana.com/blog/2021/12/07/grafana-8.3.1-8.2.7-8.1.8-and-8.0.7-released-with-high-severity-security-fix/


Похоже надо обновлять графану везде где можно, пока не расползлось 🙂
https://twitter.com/h4x0r_dz/status/1468225847177977870

https://xvnpw.github.io/
xvnpw personal blog with posts about hacking, bug bounty, appsec

Staying sane in bug bounties
https://youtube.com/watch?v=us15nL2Hm2w&feature=share

Message from one of discord chat:

How to get started with hacking and bug bounties?

We've gathered some useful resources to get your started on your bug bounty journey!

- Guide to learn hacking https://www.youtube.com/watch?v=2TofunAI6fU
- Finding your first bug: bounty hunting tips from the Burp Suite community https://portswigger.net/blog/finding-your-first-bug-bounty-hunting-tips-from-the-burp-suite-community
- Port Swigger Web Security Academy https://portswigger.net/web-security/learning-path
- Nahamsec's Twitch https://www.twitch.tv/nahamsec
- Nahamsec interviews with top bug bounty hunters https://www.youtube.com/c/Nahamsec
- Nahamsec's beginner repo https://github.com/nahamsec/Resources-for-Beginner-Bug-Bounty-Hunters
- Stök https://www.youtube.com/c/STOKfredrik
- InsiderPhD https://www.youtube.com/c/InsiderPhD
- Series for new bug hunters https://www.youtube.com/playlist?list=PLbyncTkpno5FAC0DJYuJrEqHSMdudEffw
- Jhaddix https://www.youtube.com/c/jhaddix
- Posts from Hacker101 members on how to get started hacking
- zonduu https://medium.com/@zonduu/bug-bounty-beginners-guide-683e9d567b9f
- p4nda https://enfinlay.github.io/bugbounty/2020/08/15/so-you-wanna-hack.html
- also a blog on subdomain takeovers https://enfinlay.github.io/sto/ip/domain/bugbounty/2020/09/12/ip-server-domain.html
- clos2100 on getting started without a technical background https://twitter.com/pirateducky/status/1300566000665014275
- dee-see's resources for Android Hacking https://blog.deesee.xyz/android/security/2020/01/13/android-application-hacking-resources.html
- hacker101 videos https://www.hacker101.com/videos

https://cvetrends.com/
Тренды CVE из твиттера

Log4j - impacted products

Самое время посмотреть на те продукты, которые попали под impact от log4j:

https://github.com/NCSC-NL/log4shell/tree/main/software

https://gist.github.com/SwitHak/b66db3a06c2955a9cb71a8718970c592

Фиксить придется много

#dev #ops #attack