Доброго времени суток, дорогие друзья👋
Это мой блог в котором я буду рассказывать о своём прогрессе в мире пентеста.
С помощью данного блога я покажу вам что вкатиться в ИБ не так сложно как кажется, а также буду делится с вами интересными кейсами и своим опытом на этом пути.🏆
Мои аккаунты на разных платформах:
🔍 https://app.hackthebox.com/profile/649069
🔍 https://tryhackme.com/p/SidneyJob
🔍 https://ctftime.org/user/135009
🔍 https://habr.com/ru/users/SidneyJob/
Это мой блог в котором я буду рассказывать о своём прогрессе в мире пентеста.
С помощью данного блога я покажу вам что вкатиться в ИБ не так сложно как кажется, а также буду делится с вами интересными кейсами и своим опытом на этом пути.🏆
Мои аккаунты на разных платформах:
🔍 https://app.hackthebox.com/profile/649069
🔍 https://tryhackme.com/p/SidneyJob
🔍 https://ctftime.org/user/135009
🔍 https://habr.com/ru/users/SidneyJob/
TryHackMe
SidneyJob
TryHackMe is a free online platform for learning cyber security, using hands-on exercises and labs, all through your browser!
👍7❤2
Доброго времени суток, дорогие друзья! Недавно мне понадобилось сгенерировать debug pin для приложения на Flask. И как я понял все тулзы, которые есть на гите используют устаревший механизм генерации. Поэтому я написал программу Werkzeuger, может облегчит кому-нибудь жизнь)☺️
Ссылка: тык
Ссылка: тык
👍9❤🔥2
Как быстро летит время, последний пост был аж 2 месяца назад!🤯 Но вот спустя время я возращаюсь, причем не с пустыми руками) Готова статья к прошлому посту😄. Думаю, что пора уходить от статей в телеграфе к более проффесианальным платформам, поэтому статья вышла на новой для меня платформе - habr😅. Это был мой первый маленький ресерч, поэтому попрошу не бить меня палками и дать мне фидбек по этой статье) Надеюсь, что больше таких длинных пробелов не будет, ведь наконец-то начались каникулы)🥳, теперь есть больше времени на канал, буду стараться делать больше крутого и полезного контента. Дальше - Больше!
Ссылочка на статью: ссылка
Ссылочка на статью: ссылка
Хабр
Werkzeug: раскручиваем arbitrary file read до RCE в веб-приложении на flask
Flask, flask, flask... Что вообще представляет из себя Flask и с чем его едят? Flask - это микрофреймворк для создания веб-приложений на языке Python. Он предоставляет минимальный набор инструментов...
👍7🔥1
Forwarded from Purple Chronicles (Hunter Biden)
Вчера с @SidneyJob почти доделали уязвимое приложение, реализовав несколько популярных и довольно простых в эксплуатации веб-уязвимостей, в том числе затронули тему его недавнего исследования👩💻
Пока смогли разместить 5 флагов (следовательно, реализовав 5 разных уязвимостей), но в будущем есть планы чуть-чуть расширить функционал. Скоро зальём исходный код на GitHub👩💻
Также приложение запихнём в контейнер для его удобного развертывания в домашней лабораторной среде👩💻
Возможно опубликуем публично, чтобы каждый, у кого есть доступ в интернет, мог попрактиковаться :)
Пока смогли разместить 5 флагов (следовательно, реализовав 5 разных уязвимостей), но в будущем есть планы чуть-чуть расширить функционал. Скоро зальём исходный код на GitHub
Также приложение запихнём в контейнер для его удобного развертывания в домашней лабораторной среде
Возможно опубликуем публично, чтобы каждый, у кого есть доступ в интернет, мог попрактиковаться :)
Please open Telegram to view this post
VIEW IN TELEGRAM
👏3🔥2😱1
Forwarded from Заметки Bug Bounty Hunter'а
📢 Уважаемые подписчики!
🦈 Хочу поделиться с вами своим собственным Open Source решением для генерации CSRF PoC под названием
✨ Изначально я задумывал его для своих личных нужд, но понял, что он может быть полезен и другим исследователям в области информационной безопасности. Поэтому было принято решение опубликовать код инструмента на GitHub.
💡 Что делает этот инструмент особенным? Его отличительной особенностью является возможность генерации постоянной ссылки на результат. Это означает, что вы можете просто указать ссылку в своем отчете, а команда безопасности сможет легко и быстро проверить работоспособность PoC. Удобство в действии! 👌
🔒 Ах да, чуть не забыл. Все необходимые данные передаются в хэше URL, а следовательно, сервер не знает никаких подробностей о вашем запросе.
💪 Надеюсь,
✉️ Если у вас есть какие-либо вопросы или предложения, не стесняйтесь обращаться ко мне. Актуальный контакт для связи всегда можно найти в GitHub репозитории.
🔗 Ссылки:
👉 https://csrfshark.github.io/
👉 https://github.com/csrfshark/app/
🦈 Хочу поделиться с вами своим собственным Open Source решением для генерации CSRF PoC под названием
CSRFShark!✨ Изначально я задумывал его для своих личных нужд, но понял, что он может быть полезен и другим исследователям в области информационной безопасности. Поэтому было принято решение опубликовать код инструмента на GitHub.
CSRFShark полностью бесплатный, распространяется по лицензии MIT.💡 Что делает этот инструмент особенным? Его отличительной особенностью является возможность генерации постоянной ссылки на результат. Это означает, что вы можете просто указать ссылку в своем отчете, а команда безопасности сможет легко и быстро проверить работоспособность PoC. Удобство в действии! 👌
🔒 Ах да, чуть не забыл. Все необходимые данные передаются в хэше URL, а следовательно, сервер не знает никаких подробностей о вашем запросе.
💪 Надеюсь,
CSRFShark сможет стать незаменимым помощником для ваших исследований в сфере веб безопасности!✉️ Если у вас есть какие-либо вопросы или предложения, не стесняйтесь обращаться ко мне. Актуальный контакт для связи всегда можно найти в GitHub репозитории.
🔗 Ссылки:
👉 https://csrfshark.github.io/
👉 https://github.com/csrfshark/app/
😱3🔥1
Forwarded from Purple Chronicles (Hunter Biden)
Please open Telegram to view this post
VIEW IN TELEGRAM
Что ж... Наша лаборатория готова!😁
Лаборатория содержит 11 заданий на следующие темы:
[1-3] Брутфорс
[4] Фаззинг
[5] SQLI
[6] SSTI
[7] JWT
[8] IDOR
[9] XXE
[10] XSS
[11] Bonus task — генерация Debugger PIN (при создании вдохновлялись исследованем одного из авторов @SidneyJobChannel, опубликованным на Habr)
Ждем от вас фидбек по лабе (что поправить/добавить)😊 Сначала исправим ошибки, которые вы найдете, а после, возможно, добавим несколько заданий и выложим на гит, чтобы любой желающий мог развернуть приложение локально и попрактиковаться в нашей лаборатории!😄
Авторы:
@CherepawwkaChannel
@SidneyJobChannel
Потестить лабу можно по здесь: тык
Лаборатория содержит 11 заданий на следующие темы:
[1-3] Брутфорс
[4] Фаззинг
[5] SQLI
[6] SSTI
[7] JWT
[8] IDOR
[9] XXE
[10] XSS
[11] Bonus task — генерация Debugger PIN (при создании вдохновлялись исследованем одного из авторов @SidneyJobChannel, опубликованным на Habr)
Ждем от вас фидбек по лабе (что поправить/добавить)😊 Сначала исправим ошибки, которые вы найдете, а после, возможно, добавим несколько заданий и выложим на гит, чтобы любой желающий мог развернуть приложение локально и попрактиковаться в нашей лаборатории!😄
Авторы:
@CherepawwkaChannel
@SidneyJobChannel
Потестить лабу можно по здесь: тык
👍2🔥2❤1
Привет, всем! А вы знали, что в Nuclei есть масса полезных вспомогательных функций? Если нет, то теперь вы в курсе! И, что особенно приятно, я подготовил для вас PDF, где подробно описаны эти функции. А еще у меня для вас приятная новость: скоро выйдет моя статья, в которой я постораюсь максимально просто донести как создавать кастомные шаблоны для nuclei! Так что ожидайте статью, она уже на подходе. Будет интересно, не пропустите!
❤2👍2🔥1😱1
Дорогие друзья! Я и мой коллега рады приветствовать вас в нашей веб-лаборатории! Мы создали эту лабораторию с одной целью — помочь начинающим ИБ-специалистам ознакомиться с основными уязвимостями в веб-приложениях☺️
Приложение содержит несколько заданий, в каждом из которых реализован некоторый изъян в безопасности (будь то словарный пароль, SQL-инъекция или XXE). Вы смело можете искать нестандартные пути решения, знакомиться с новыми для себя средствами анализа защищённости веб-приложений, пробовать различные полезные нагрузки и, главное, смотреть исходный код, позволяющий увидеть причину возникновения обнаруженной вами уязвимости🤨
💬 Мы также сделали минималистичную борду для сдачи флагов, а это значит, что вы сможете поделиться своими результатами с другими энтузиастами, обсудить интересные находки или рассказать свой способ решения👀
Так что добро пожаловать в FVWA, лабораторию, где мы стараемся создать возможности для всех, кто хочет и стремится стать лучше в сфере веб-безопасности🛸
🤫 P.S. 🤫
Публично лаборатория будет доступна еще пару недель, но вы всегда можете поднять ее локально, так как ссылку на исходники прикрепили к посту!📌
1️⃣ . Статья, где вы можете прочитать разбор заданий;
2️⃣ . Исходники на GitHub;
3️⃣ . Практиковаться онлайн.
Приложение содержит несколько заданий, в каждом из которых реализован некоторый изъян в безопасности (будь то словарный пароль, SQL-инъекция или XXE). Вы смело можете искать нестандартные пути решения, знакомиться с новыми для себя средствами анализа защищённости веб-приложений, пробовать различные полезные нагрузки и, главное, смотреть исходный код, позволяющий увидеть причину возникновения обнаруженной вами уязвимости
Так что добро пожаловать в FVWA, лабораторию, где мы стараемся создать возможности для всех, кто хочет и стремится стать лучше в сфере веб-безопасности
Публично лаборатория будет доступна еще пару недель, но вы всегда можете поднять ее локально, так как ссылку на исходники прикрепили к посту!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥5❤2👍2🔥1👏1
Пока есть шанс, нужно брать)
Price $5 (one-time) / Price $49 (one-time)
https://account.shodan.io/billing/member
Price $5 (one-time) / Price $49 (one-time)
https://account.shodan.io/billing/member