Какие заголовки определяют, может ли HTTP-ответ быть закэширован?
Anonymous Quiz
9%
Expires
72%
Cache-Control
19%
Content-Type
Какую директиву для Cache-Control следует использовать для предотвращения общего кэширования
Anonymous Quiz
15%
Public
37%
No-store
48%
Private
Для чего используется заголовок Vary: Cookie, User-Agent?
Anonymous Quiz
27%
Для предотвращения доступа к кэшу
70%
Для изменения кэша в зависимости от пользовательских данных
3%
Для увеличения времени кэширования
Друзья, как вам викторины, продолжаем такой формат?)
Anonymous Poll
92%
Конечно, хорошо помогает закрепить материал
8%
Это лишнее, оставь как было
#Статья #Викторина
Скрытый отраженный XSS на странице 403
👉 В статье автор описывает, как обнаружил уязвимость Reflected XSS на скрытой странице сброса пароля за 403-ошибкой, используя фаззинг и ручное тестирование.
⏱Время чтения: 4 минуты
Скрытый отраженный XSS на странице 403
👉 В статье автор описывает, как обнаружил уязвимость Reflected XSS на скрытой странице сброса пароля за 403-ошибкой, используя фаззинг и ручное тестирование.
⏱Время чтения: 4 минуты
Telegraph
Скрытый отраженный XSS на странице 403
В этой статье я расскажу, как обнаружил скрытую уязвимость в приложении, которая привела к эксплуатации Reflected Cross-Site Scripting (RxSS). Уязвимость была найдена в неожиданном месте — в функциональности сброса пароля — скрытая за страницей 403, которую…
🔥1
Что такое рекурсивный фазинг, и как он помогает при поиске уязвимостей?
Anonymous Quiz
9%
Тестирование сетевого трафика
84%
Поиск скрытых директорий и файлов с использованием многократного перебора
7%
Анализ исходного кода приложения
#Статья
Как успешно сдать экзамен OSCP / OSCP+ в 2024 году
👉 В статье автор делится советами по успешной сдаче экзамена OSCP, включая управление стрессом, концентрацией, временем и ведением документации.
⏱Время чтения: 10 минут
Как успешно сдать экзамен OSCP / OSCP+ в 2024 году
👉 В статье автор делится советами по успешной сдаче экзамена OSCP, включая управление стрессом, концентрацией, временем и ведением документации.
⏱Время чтения: 10 минут
Telegraph
Как успешно сдать экзамен OSCP / OSCP+ в 2024 году
Мое утверждение: большинство людей, которые проваливают экзамен OSCP, терпят неудачу не из-за недостатка технических знаний. Как руководитель команды, я наблюдал, как мои сотрудники сдавали и не сдавали экзамен OSCP, иногда даже несколько раз. Удивительно…
👍1
#Статья
IDOR — утечка данных 15 миллионов пользователей
👉 Используя немного смекалки и волшебство расширения "403 Bypasser" в Burp Suite, автор сумел превратить запрет "403 Forbidden" в пропуск к данным 15 миллионов пользователей.
⏱Время чтения: 5 минут
IDOR — утечка данных 15 миллионов пользователей
👉 Используя немного смекалки и волшебство расширения "403 Bypasser" в Burp Suite, автор сумел превратить запрет "403 Forbidden" в пропуск к данным 15 миллионов пользователей.
⏱Время чтения: 5 минут
Telegraph
IDOR — утечка данных 15 миллионов пользователей
Привет, друзья! После множества личных сообщений, запросов по методологии и кучи электронных писем я, наконец, решил написать о методологии своих находок. Недавно многие хотели, чтобы я опубликовал рассказ о своей недавней находке уязвимости IDOR (Insecure…
🔥1
#Статья
Взлом кода: как я получил доступ к учетным записям администраторов разных организаций
👉 Автор делится тем, как ему удалось обойти ограничения доступа и получить контроль над учетными записями администраторов в различных организациях, используя хитрые трюки с API-запросами и немного удачи.
⏱Время чтения: 5 минут
Взлом кода: как я получил доступ к учетным записям администраторов разных организаций
👉 Автор делится тем, как ему удалось обойти ограничения доступа и получить контроль над учетными записями администраторов в различных организациях, используя хитрые трюки с API-запросами и немного удачи.
⏱Время чтения: 5 минут
Telegraph
Взлом кода: как я получил доступ к учетным записям администраторов разных организаций
Привет, ребята! Надеюсь, у вас все хорошо. Это Исмаил, также известный как 0xSp1DeR, и сегодня я поделюсь подробностями о критической уязвимости, которую я недавно обнаружил. Кратко: Я обнаружил критическую уязвимость, которая позволяла администратору одной…
❤1
#Статья #Викторина
Как простой эксплойт может принести $500 — Cache Deception
👉 Автор расскажет, как ошибка в реализации кэширования может обернуться крупной уязвимостью, позволяющей злоумышленнику получить доступ к личным данным пользователей, и объясняет, как такая находка может принести $500 в программе Bug Bounty.
⏱Время чтения: 5 минут
Как простой эксплойт может принести $500 — Cache Deception
👉 Автор расскажет, как ошибка в реализации кэширования может обернуться крупной уязвимостью, позволяющей злоумышленнику получить доступ к личным данным пользователей, и объясняет, как такая находка может принести $500 в программе Bug Bounty.
⏱Время чтения: 5 минут
Telegraph
Как простой эксплойт может принести $500 — Cache Deception
Обзор: В этой статье мы обсудим уязвимость под названием Web Cache Deception (обман веб-кэша), которая позволяет злоумышленникам получить доступ к конфиденциальной информации пользователя, используя неправильную обработку динамического и статического контента…
🤩2
Каким образом злоумышленник манипулирует URL-адресом при атаке Web Cache Deception?
Anonymous Quiz
2%
Добавляет расширения файлов, такие как .jpg или .png
9%
Использует SQL-инъекцию для изменения URL
89%
Добавляет расширения файлов, такие как .css или .js, к URL динамической страницы
🔥2👍1
Какой риск представляет собой Web Cache Deception?
Anonymous Quiz
100%
Утечка конфиденциальной информации пользователя
0%
Полное удаление данных с сервера
0%
Снижение скорости работы сайта
👍2❤1
Какая основная причина появления уязвимости Web Cache Deception?
Anonymous Quiz
8%
Недостаточная защита паролей пользователей
89%
Неправильная обработка динамического и статического контента
4%
Использование слабых алгоритмов шифрования
🔥5
Какие действия можно предпринять для предотвращения атак Web Cache Deception?
Anonymous Quiz
2%
Регулярно обновлять операционную систему
5%
Использовать только HTTPS
93%
Проверять настройки кэширования, заголовки и URL-адреса
🔥3
#Статья
XSS на домене вне скоупа? CORS — ваше секретное оружие!
👉 В статье автор расскажет, как уязвимость XSS на домене вне скоупа в сочетании с ошибкой CORS помогла ему получить доступ к конфиденциальным данным и заработать $904 в программе Bug Bounty.
⏱Время чтения: 5 минут
XSS на домене вне скоупа? CORS — ваше секретное оружие!
👉 В статье автор расскажет, как уязвимость XSS на домене вне скоупа в сочетании с ошибкой CORS помогла ему получить доступ к конфиденциальным данным и заработать $904 в программе Bug Bounty.
⏱Время чтения: 5 минут
Telegraph
XSS на домене вне скоупа? CORS — ваше секретное оружие!
В этой статье мы рассмотрим уязвимость XSS (межсайтовый скриптинг), который иногда может быть недооценен, особенно когда они возникают в доменах вне скоупа(Out-of-Scope, OOS). Однако при сочетании с неправильными настройками CORS (Cross-Origin Resource Sharing)…
🔥2
#Статья
Недостаточная аутентификация — общая уязвимость, которая подвергает учетные записи пользователей опасности
👉 Автор рассказывает, как неправильная реализация аутентификации может стать причиной взлома учетных записей, и предлагает меры для усиления безопасности и предотвращения таких атак.
⏱ Время чтения: 4 минуты
Недостаточная аутентификация — общая уязвимость, которая подвергает учетные записи пользователей опасности
👉 Автор рассказывает, как неправильная реализация аутентификации может стать причиной взлома учетных записей, и предлагает меры для усиления безопасности и предотвращения таких атак.
⏱ Время чтения: 4 минуты
Telegraph
Недостаточная аутентификация — общая уязвимость, которая подвергает учетные записи пользователей опасности
Недостаточная аутентификация — это критическая уязвимость безопасности, которая возникает, когда механизмы аутентификации приложения слабы или неправильно реализованы. Эта уязвимость позволяет злоумышленникам скомпрометировать учетные данные пользователей…
🔥2👍1
#Статья
Как я нашел RCE через загрузку файла
👉 В статье автор делится кейсом, как при помощи хитрого обхода серверных ограничений удалось заполучить RCE через загрузку файлов, и объясняет, какие меры безопасности помогут предотвратить подобные атаки.
⏱ Время чтения: 4 минуты
Как я нашел RCE через загрузку файла
👉 В статье автор делится кейсом, как при помощи хитрого обхода серверных ограничений удалось заполучить RCE через загрузку файлов, и объясняет, какие меры безопасности помогут предотвратить подобные атаки.
⏱ Время чтения: 4 минуты
Telegraph
Как я нашел RCE через загрузку файла
Введение В этой статье я расскажу, как я обнаружил уязвимость удаленного выполнения кода (Remote Code Execution, RCE), просто загрузив профиль. На сервере были проверки фильтрации, которые ограничивали ввод вредоносных символов, и важно понять, как сервер…
🔥2😁2
🔥 Еженедельный дайджест: что ты мог пропустить? 🔥
Привет, друзья! 👋 Совсем недавно неделя подошла к концу и я тут подумал, что стоило бы попробовать добавить еженедельный дайджест, как вам идея? Накидайте реакций🫶
📄 Статьи:
1️⃣ Как простой эксплойт может принести $500 — Cache Deception
Охота на уязвимость веб-кеша завершилась успешной находкой! Как баг превратился в $500? Узнай все детали. 💵
👉 Читать статью
2️⃣ XSS на домене вне скоупа? CORS — ваш лучший друг!
Атаковать домен, который даже не входит в скоуп? Это возможно с правильным подходом и CORS! 🔐
👉 Читать статью
3️⃣ Недостаточная аутентификация: как она может подорвать безопасность аккаунтов
Распространенные ошибки в аутентификации могут открыть дверь для злоумышленников. Как этого избежать? Читай здесь! 🔑
👉 Читать статью
4️⃣ Как я нашел RCE через обычную загрузку файла
Всё началось с загрузки файла... и закончилось удаленным выполнением кода на сервере. Узнай, как это было. 🚨
👉 Читать статью
🎮 Викторины:
🧩 Викторина по Web Cache Deception
Закрепи свои знания и посмотри, насколько хорошо ты усвоил материал!
👉 Пройти викторину
🔎 Читай, участвуй в викторинах и следи за новыми публикациями!
Привет, друзья! 👋 Совсем недавно неделя подошла к концу и я тут подумал, что стоило бы попробовать добавить еженедельный дайджест, как вам идея? Накидайте реакций🫶
📄 Статьи:
1️⃣ Как простой эксплойт может принести $500 — Cache Deception
Охота на уязвимость веб-кеша завершилась успешной находкой! Как баг превратился в $500? Узнай все детали. 💵
👉 Читать статью
2️⃣ XSS на домене вне скоупа? CORS — ваш лучший друг!
Атаковать домен, который даже не входит в скоуп? Это возможно с правильным подходом и CORS! 🔐
👉 Читать статью
3️⃣ Недостаточная аутентификация: как она может подорвать безопасность аккаунтов
Распространенные ошибки в аутентификации могут открыть дверь для злоумышленников. Как этого избежать? Читай здесь! 🔑
👉 Читать статью
4️⃣ Как я нашел RCE через обычную загрузку файла
Всё началось с загрузки файла... и закончилось удаленным выполнением кода на сервере. Узнай, как это было. 🚨
👉 Читать статью
🎮 Викторины:
🧩 Викторина по Web Cache Deception
Закрепи свои знания и посмотри, насколько хорошо ты усвоил материал!
👉 Пройти викторину
🔎 Читай, участвуй в викторинах и следи за новыми публикациями!
🔥3👍1
#Статья #Викторина
Техники обхода WAF: как профессионально эксплуатировать уязвимости SQL-инъекций
👉 В статье автор раскрывает техники обхода WAF для эксплуатации уязвимостей SQL-инъекций, включая методы кодирования, обфускации запросов и использование метода HTTP Parameter Pollution.
⏱️ Время чтения: 4 минуты
Техники обхода WAF: как профессионально эксплуатировать уязвимости SQL-инъекций
👉 В статье автор раскрывает техники обхода WAF для эксплуатации уязвимостей SQL-инъекций, включая методы кодирования, обфускации запросов и использование метода HTTP Parameter Pollution.
⏱️ Время чтения: 4 минуты
Telegraph
Техники обхода WAF: как профессионально эксплуатировать уязвимости SQL-инъекций
В мире кибербезопасности понимание уязвимостей и механизмов защиты критично для специалистов по безопасности и этичных хакеров. Брандмауэры веб-приложений (WAF) служат первой линией обороны против таких угроз, как SQL-инъекции. В этой статье рассматриваются…
❤1