Здравствуйте, друзья, я Krishna Agarwal (Kr1shna 4garwal) из Индии. Обычный охотник за ошибками и так называемый исследователь безопасности :) Сегодня мой день рождения, и я решил отпраздновать его по-другому, поэтому в этой статье я пишу о некоторых распространенных…

PowerShell Script Analyzer, также известный как PSScriptAnalyzer, представляет собой инструмент статического анализа кода (SAST-инструмент), который исследует написанный в PowerShell код и оценивает его на наличие различных машинно-измеримых лучших практик.…

Привет всем, чаще всего вы читаете о захвате аккаунта или инфраструктуры, но слышали ли вы раньше о захвате здания компании?. Сегодня я поделюсь с вами интересной уязвимостью, которую я нашел во время поиска одной из программ на Hackerone, поэтому давайте…

Введение → Итак, я уверен, что вы все увлечены всеми "горячими" словами в области кибербезопасности. Поскольку октябрь известен как месяц осведомленности о кибербезопасности, я подумал, что это идеальное время, чтобы высказаться на тему управления поверхностью…

Привет! Меня зовут Файзан, и эта статья посвящена интересному хранимому XSS, который я недавно обнаружил! Если вы знаете, что такое XSS или Cross Site Scripting, то можете перейти к методологии. Что такое XSS? XSS (Cross Site Scripting) - это тип уязвимости…

Предыстория: В последние 2 месяца я тестировал частную программу с большим охватом. Она включает в себя множество доменов и брендов. Тестирование в большом масштабе - это весело и полезно. Разработчики постоянно что-то дорабатывают и оставляют много ошибок…

XSS на основе куки Однажды вечером я начал поиск по программе Terrahost Bug Bounty. Я тестировал основной домен terrahost.no. Там была функциональность, где я мог выбрать услугу, затем зарегистрировать аккаунт и разместить заказ. Я так и сделал. Я выбрал…

Как следует из названия, это уязвимость, которая возникает на стороне сервера, что дает представление о том, что злоумышленник побуждает сервер выполнить какое-то действие, которое теоретически не должно выполняться. Шаблоны - это, по сути, динамические части…

В этой статье мы продемонстрируем, как эмуляция угроз может быть использована для Threat Hunting. Я часто использую эмуляцию угроз, чтобы понять, какие следы оставляет после себя атака. Существует множество вариантов использования эмуляции угроз, но в этой…

Фишинговая атака - это вид атаки, направленный на кражу персональных данных пользователя путем перехода по вредоносным ссылкам, отправленным пользователям по электронной почте, или запуска вредоносных файлов на их компьютере. Фишинговые атаки соответствуют…

Автор: Raunak kumar Что такое SSH? SSH - это аббревиатура от Secure Shell, и, по сути, простыми словами, это протокол, который позволяет двум машинам безопасно общаться в сети. История SSH В прошлом существовала необходимость в коммуникации между двумя компьютерами…

1. Открытое сообщество Bug Bounty https://www.openbugbounty.org/bugbounty-list/ Полный список программ "Bug bounty" и программ раскрытия уязвимостей в системе безопасности, запущенных и управляемых открытым сообществом bug bounty. Ресурсы - Электронная почта…

Как мне удалось обойти OTP с помощью манипуляций с ответами $whoami Я Гаутам Нангия, 19-летний энтузиаст кибербезопасности, который любит взламывать и исследовать область безопасности веб-приложений. В настоящее время изучаю BCA и оттачиваю свои навыки на…

Вспомните те дни, когда вы смотрели на погоду или в приложении погоды и готовились к погодным условиям в этот день. Допустим, вы увидели в приложении погоды, что сегодня будет дождь, поэтому, выходя из дома, вы возьмете с собой зонтик или дождевик, чтобы…

Добро пожаловать в новую серию статей о тестировании Android. Эта серия о том, как можно взломать Android и найти в нем уязвимости, используя различные методы. В этой серии мы стремимся охватить все уязвимости, которые вы можете найти, вместе с методологией.…

Вторая часть статьи "Поиск уязвимостей P1: Пошаговое руководство". В этой части более подробно рассказывается о том, что нужно делать на реальных этапах, а не о концепциях. Я решил сделать еще одну часть в основном потому, что было несколько вопросов по первой…

Привет всем! Меня зовут Аман, и я занимаюсь исследованием кибербезопасности. Я также являюсь членом студенческого отделения ACM университета DIT. Надеюсь, у вас все отлично! В этой статье я расскажу о том, как предотвратить появление уязвимостей в паролях.…

TL;DR - Узнайте о самых крупных взломах с использованием социальной инженерии, а также об истории этого термина и его значении для современной кибербезопасности. Сегодня мы рассмотрим, что такое фишинг, различные виды фишинга и возможные классы. Когда большинство…

Привет всем, я Мохит Раджпут, исследователь безопасности. Это моя первая статья о каком-либо баге. Я обнаружил странный случай захвата аккаунта сотрудника одного из ведущих индийских интернет-провайдеров. Я не буду называть название компании по соображениям…

Добро пожаловать во вторую часть этой серии статей об охоте за угрозами! (прошу прощения за задержку). В первой части этой серии я рассказал о том, что такое охота за угрозами, какого уровня развития должна достичь организация, чтобы эффективно развивать…

Привет, Меня зовут Аман. В этом блоге мы увидим, как войти в любую Linux машину (я пробовал это на Kali, Parrot, Ubuntu), не зная ее оригинального пароля и не теряя доступа к учетной записи пользователя путем изменения пароля. А также я расскажу вам, как…