#Статья
Перевод: Отсутствие ограничения скорости для подписки по электронной почте + неправильная настройка Cross origin
⏱Время чтения: 3 минуты
Перевод: Отсутствие ограничения скорости для подписки по электронной почте + неправильная настройка Cross origin
⏱Время чтения: 3 минуты
Telegraph
Перевод: Отсутствие ограничения скорости для подписки по электронной почте + неправильная настройка Cross origin
Здравствуйте, охотники. Я знаю, что вы здесь потому, что испытываете трудности или хотите продвинуться в своей карьере. Поверьте мне, все требует времени. Будьте последовательны, продолжайте учиться и никогда не обманывайте себя. Если вы будете следовать…
👍4
#Статья
Перевод: Обход защиты SSRF с помощью техники DNS Rebinding и инъекция текста в блоге.
⏱Время чтения: 4 минуты
Перевод: Обход защиты SSRF с помощью техники DNS Rebinding и инъекция текста в блоге.
⏱Время чтения: 4 минуты
Telegraph
Перевод: Обход защиты SSRF с помощью техники DNS Rebinding и инъекция текста в блоге.
Здесь я попытаюсь обобщить и привести все факты о том, как я получил триаж моих первых двух ошибок в одной компании. Обе эти ошибки находятся в стадии триала и еще не исправлены, поэтому название организации должно быть example.com Первое: Мышление: Текстовая…
👍3
#InfoSec_Video
1. @NahamSec делится ценными советами о том, как ориентироваться в сложном мире bug bounty, включая советы о том, где и как начинать.
2. В этом видео @_JohnHammond делится своим опытом сдачи экзамена HackTheBox Certified Pentester.
3. В этом информативном видео @thecybermentor дает вводное руководство по фаззингу API в целях взлома.
1. @NahamSec делится ценными советами о том, как ориентироваться в сложном мире bug bounty, включая советы о том, где и как начинать.
2. В этом видео @_JohnHammond делится своим опытом сдачи экзамена HackTheBox Certified Pentester.
3. В этом информативном видео @thecybermentor дает вводное руководство по фаззингу API в целях взлома.
👍3
#InfoSec_Repositories
1. Посмотрите форк XSSHunter от @rs_loves_bugs - рабочую и простую в установке версию оригинального репозитория, в которой исправлены проблемы с развертыванием.
2. "DigitalOcean Droplet Proxy for Burp Suite" от @honoki - это плагин, который устанавливает SOCKS5-прокси на DigitalOcean droplet при каждом запуске Burp и направляет через него трафик.
1. Посмотрите форк XSSHunter от @rs_loves_bugs - рабочую и простую в установке версию оригинального репозитория, в которой исправлены проблемы с развертыванием.
2. "DigitalOcean Droplet Proxy for Burp Suite" от @honoki - это плагин, который устанавливает SOCKS5-прокси на DigitalOcean droplet при каждом запуске Burp и направляет через него трафик.
👍3
#Security_News
1. Правительство Великобритании планирует повысить квалификацию для борьбы с мошенничеством в государственном секторе [Подробнее]
2. Город Окленд столкнулся с крупной утечкой данных
[Подробнее]
3. Участники банды DoppelPaymer Ransomware задержаны в Германии и Украине [Подробнее]
4. EPA призывает к улучшению кибербезопасности в системах общественного водоснабжения [Подробнее]
5. Почти половина компьютеров промышленного сектора пострадала от вредоносного ПО в 2022 году [Подробнее]
1. Правительство Великобритании планирует повысить квалификацию для борьбы с мошенничеством в государственном секторе [Подробнее]
2. Город Окленд столкнулся с крупной утечкой данных
[Подробнее]
3. Участники банды DoppelPaymer Ransomware задержаны в Германии и Украине [Подробнее]
4. EPA призывает к улучшению кибербезопасности в системах общественного водоснабжения [Подробнее]
5. Почти половина компьютеров промышленного сектора пострадала от вредоносного ПО в 2022 году [Подробнее]
👍2
#Security_News
1. Две трети европейских фирм перешли на Zero Trust [Подробнее]
2. Бразильский конгломерат пострадал от утечки данных объемом 3 ТБ: Отчет
[Подробнее]
3. Российская кампания по дезинформации фиксирует на камеру известных личностей
[Подробнее]
4. Только 10% фирм могут справиться с облачными угрозами в течении часа
[Подробнее]
5. Атака вымогательского ПО на больницу Барселоны нарушает ее работу [Подробнее]
6. Приложение Shein получает доступ к данным буфера обмена на устройствах Android
[Подробнее]
7. Sharp Panda нацелена на Юго-Восточную Азию в рамках расширения кампании по шпионажу [Подробнее]
1. Две трети европейских фирм перешли на Zero Trust [Подробнее]
2. Бразильский конгломерат пострадал от утечки данных объемом 3 ТБ: Отчет
[Подробнее]
3. Российская кампания по дезинформации фиксирует на камеру известных личностей
[Подробнее]
4. Только 10% фирм могут справиться с облачными угрозами в течении часа
[Подробнее]
5. Атака вымогательского ПО на больницу Барселоны нарушает ее работу [Подробнее]
6. Приложение Shein получает доступ к данным буфера обмена на устройствах Android
[Подробнее]
7. Sharp Panda нацелена на Юго-Восточную Азию в рамках расширения кампании по шпионажу [Подробнее]
👍2
#Статья
Перевод: Уязвимость, которая подвергла веб-сайт ООН удаленному выполнению кода
⏱Время чтения: 3 минуты
Перевод: Уязвимость, которая подвергла веб-сайт ООН удаленному выполнению кода
⏱Время чтения: 3 минуты
Telegraph
Перевод: Уязвимость, которая подвергла веб-сайт ООН удаленному выполнению кода
Привет всем, снова возвращаюсь с очередным письмом. На этот раз я расскажу вам историю о том, как я получил свое имя в Зале славы ООН. 😁 Итак, давайте перейдем непосредственно к рассказу. Как обычно, простая методология, которой я следую: Проверка области…
🔥2
#Статья
Перевод: Как я заработал $1800 за обнаружение уязвимости (бизнес-логика) захвата аккаунта?
⏱Время чтения: 3 минуты
Перевод: Как я заработал $1800 за обнаружение уязвимости (бизнес-логика) захвата аккаунта?
⏱Время чтения: 3 минуты
Telegraph
Перевод: Как я заработал $1800 за обнаружение уязвимости (бизнес-логика) захвата аккаунта?
Приветствую вас, читатели! Я Вивек Кумар Ядав, исследователь кибербезопасности из Индии, и я рад поделиться своей недавней находкой уязвимости захвата учетной записи, которая позволила мне получить доступ к учетной записи жертвы без каких-либо учетных данных…
🔥2
#InfoSec_Repositories
Бесплатный аналог Maltego
OSINTBuddy - задуман как инструмент, аналогичный Maltego. По своей сути это инструмент для построения графиков на основе информации, полученной в ходе расследования. Стоит отметить, что репозиторий достаточно новый и быстро развивается.
С точки зрения функциональности и дорожной карты, на данный момент кажется, что OSINTBuddy будет наиболее удобен в использовании для IT-специалистов и пентестеров.
Бесплатный аналог Maltego
OSINTBuddy - задуман как инструмент, аналогичный Maltego. По своей сути это инструмент для построения графиков на основе информации, полученной в ходе расследования. Стоит отметить, что репозиторий достаточно новый и быстро развивается.
С точки зрения функциональности и дорожной карты, на данный момент кажется, что OSINTBuddy будет наиболее удобен в использовании для IT-специалистов и пентестеров.
👍2🔥1
#Статья
Перевод: Простое руководство по осуществлению входа в систему методом грубой силы с помощью Burp Suite
⏱Время чтения: 7 минут
Перевод: Простое руководство по осуществлению входа в систему методом грубой силы с помощью Burp Suite
⏱Время чтения: 7 минут
Telegraph
Перевод: Простое руководство по осуществлению входа в систему методом грубой силы с помощью Burp Suite
Грубая сила - это хакерская техника, которая заключается в выполнении различных комбинаций взлома систем методом проб и ошибок. Эта техника может быть автоматизирована с помощью некоторых программ. Я написал "Instagram Brute Force Attack Using Python" два…
👍3
#Security_News
1. В умных домофонах обнаружены недостатки удаленного выполнения кода и доступа к камерам
[Подробнее]
2. Инфостилеры распространяются через сгенерированные искусственным интеллектом видеоролики на YouTube
[Подробнее]
3. Мошенничество в сфере инвестиций стало крупнейшим источником дохода от киберпреступлений
[Подробнее]
4. Dark Pink APT Group использует KamiKakaBot против организаций Южной Азии
[Подробнее]
1. В умных домофонах обнаружены недостатки удаленного выполнения кода и доступа к камерам
[Подробнее]
2. Инфостилеры распространяются через сгенерированные искусственным интеллектом видеоролики на YouTube
[Подробнее]
3. Мошенничество в сфере инвестиций стало крупнейшим источником дохода от киберпреступлений
[Подробнее]
4. Dark Pink APT Group использует KamiKakaBot против организаций Южной Азии
[Подробнее]
👍4🔥1
#InfoSec_Video
В этом видео @0xTib3rius решает задачу средней сложности "Under Construction" из Hack The Box.
В этом видео @0xTib3rius решает задачу средней сложности "Under Construction" из Hack The Box.
YouTube
Hack The Box - Under Construction (Medium) - Live Walkthrough
In this video, Tib3rius solves the medium rated "Under Construction" challenge from Hack The Box.
For this challenge we got some NodeJS source code and quickly found an SQL injection which required us to modify a signed JWT. After reading more of the source…
For this challenge we got some NodeJS source code and quickly found an SQL injection which required us to modify a signed JWT. After reading more of the source…
👍3
#InfoSec_Repositories
Recon-ninja от @ArmanSameer95 - это мощный инструмент для эффективного сбора, хранения и поиска данных разведки с удобным пользовательским интерфейсом.
Recon-ninja от @ArmanSameer95 - это мощный инструмент для эффективного сбора, хранения и поиска данных разведки с удобным пользовательским интерфейсом.
👍3🔥1🤔1
#Security_News
1. DEV-1101 обновляет набор для фишинга с открытым исходным кодом
[Подробнее]
2. CISA создает новую программу предупреждения об уязвимостях программ-вымогателей
[Подробнее]
3. Жилищное управление Лос-Анджелеса страдает от взлома в течение года
[Подробнее]
4. MI5 запускает новое агентство для борьбы с атаками, поддерживаемыми государством
[Подробнее]
1. DEV-1101 обновляет набор для фишинга с открытым исходным кодом
[Подробнее]
2. CISA создает новую программу предупреждения об уязвимостях программ-вымогателей
[Подробнее]
3. Жилищное управление Лос-Анджелеса страдает от взлома в течение года
[Подробнее]
4. MI5 запускает новое агентство для борьбы с атаками, поддерживаемыми государством
[Подробнее]
🔥2
#Статья
Перевод: Rxss внутри атрибута href - Обход множества странных проверок для захвата аккаунтов!
⏱Время чтения: 7 минут
Перевод: Rxss внутри атрибута href - Обход множества странных проверок для захвата аккаунтов!
⏱Время чтения: 7 минут
Telegraph
Перевод: Rxss внутри атрибута href - Обход множества странных проверок для захвата аккаунтов!
Вот конечная полезная нагрузка после обхода всех странных проверок - javanoscript://;%250a+alert(document.cookie,%27\\@www.redacted.com/%27) Если вам все еще интересно, как и почему использовалась именно эта полезная нагрузка и методология, обязательно дочитайте…
👍2🔥2🤔1
#InfoSec_Repositories
Список ресурсов для начинающих баг-хантеров, составленный @NahamSec в этом замечательном репозитории GitHub - Resources-for-Beginner-Bug-Bounty-Hunters.
Список ресурсов для начинающих баг-хантеров, составленный @NahamSec в этом замечательном репозитории GitHub - Resources-for-Beginner-Bug-Bounty-Hunters.
🔥4👍1
#Security_News
1. Tick APT Group взломала восточноазиатскую фирму по разработке программного обеспечения DLP
[Подробнее]
2. Вредоносная программа "FakeCalls" для Android нацелена на финансовые компании в Южной Корее
[Подробнее]
3. Люди все еще более эффективны в борьбе с фишингом, чем ChatGPT
[Подробнее]
4. Фишинговые кампании используют крах банка SVB для сбора криптовалюты
[Подробнее]
1. Tick APT Group взломала восточноазиатскую фирму по разработке программного обеспечения DLP
[Подробнее]
2. Вредоносная программа "FakeCalls" для Android нацелена на финансовые компании в Южной Корее
[Подробнее]
3. Люди все еще более эффективны в борьбе с фишингом, чем ChatGPT
[Подробнее]
4. Фишинговые кампании используют крах банка SVB для сбора криптовалюты
[Подробнее]
🔥3