Как быстро летит время, последний пост был аж 2 месяца назад!🤯 Но вот спустя время я возращаюсь, причем не с пустыми руками) Готова статья к прошлому посту😄. Думаю, что пора уходить от статей в телеграфе к более проффесианальным платформам, поэтому статья вышла на новой для меня платформе - habr😅. Это был мой первый маленький ресерч, поэтому попрошу не бить меня палками и дать мне фидбек по этой статье) Надеюсь, что больше таких длинных пробелов не будет, ведь наконец-то начались каникулы)🥳, теперь есть больше времени на канал, буду стараться делать больше крутого и полезного контента. Дальше - Больше!
Ссылочка на статью: ссылка
Ссылочка на статью: ссылка
Хабр
Werkzeug: раскручиваем arbitrary file read до RCE в веб-приложении на flask
Flask, flask, flask... Что вообще представляет из себя Flask и с чем его едят? Flask - это микрофреймворк для создания веб-приложений на языке Python. Он предоставляет минимальный набор инструментов...
👍7🔥1
Forwarded from Purple Chronicles (Hunter Biden)
Вчера с @SidneyJob почти доделали уязвимое приложение, реализовав несколько популярных и довольно простых в эксплуатации веб-уязвимостей, в том числе затронули тему его недавнего исследования👩💻
Пока смогли разместить 5 флагов (следовательно, реализовав 5 разных уязвимостей), но в будущем есть планы чуть-чуть расширить функционал. Скоро зальём исходный код на GitHub👩💻
Также приложение запихнём в контейнер для его удобного развертывания в домашней лабораторной среде👩💻
Возможно опубликуем публично, чтобы каждый, у кого есть доступ в интернет, мог попрактиковаться :)
Пока смогли разместить 5 флагов (следовательно, реализовав 5 разных уязвимостей), но в будущем есть планы чуть-чуть расширить функционал. Скоро зальём исходный код на GitHub
Также приложение запихнём в контейнер для его удобного развертывания в домашней лабораторной среде
Возможно опубликуем публично, чтобы каждый, у кого есть доступ в интернет, мог попрактиковаться :)
Please open Telegram to view this post
VIEW IN TELEGRAM
👏3🔥2😱1
Forwarded from Заметки Bug Bounty Hunter'а
📢 Уважаемые подписчики!
🦈 Хочу поделиться с вами своим собственным Open Source решением для генерации CSRF PoC под названием
✨ Изначально я задумывал его для своих личных нужд, но понял, что он может быть полезен и другим исследователям в области информационной безопасности. Поэтому было принято решение опубликовать код инструмента на GitHub.
💡 Что делает этот инструмент особенным? Его отличительной особенностью является возможность генерации постоянной ссылки на результат. Это означает, что вы можете просто указать ссылку в своем отчете, а команда безопасности сможет легко и быстро проверить работоспособность PoC. Удобство в действии! 👌
🔒 Ах да, чуть не забыл. Все необходимые данные передаются в хэше URL, а следовательно, сервер не знает никаких подробностей о вашем запросе.
💪 Надеюсь,
✉️ Если у вас есть какие-либо вопросы или предложения, не стесняйтесь обращаться ко мне. Актуальный контакт для связи всегда можно найти в GitHub репозитории.
🔗 Ссылки:
👉 https://csrfshark.github.io/
👉 https://github.com/csrfshark/app/
🦈 Хочу поделиться с вами своим собственным Open Source решением для генерации CSRF PoC под названием
CSRFShark!✨ Изначально я задумывал его для своих личных нужд, но понял, что он может быть полезен и другим исследователям в области информационной безопасности. Поэтому было принято решение опубликовать код инструмента на GitHub.
CSRFShark полностью бесплатный, распространяется по лицензии MIT.💡 Что делает этот инструмент особенным? Его отличительной особенностью является возможность генерации постоянной ссылки на результат. Это означает, что вы можете просто указать ссылку в своем отчете, а команда безопасности сможет легко и быстро проверить работоспособность PoC. Удобство в действии! 👌
🔒 Ах да, чуть не забыл. Все необходимые данные передаются в хэше URL, а следовательно, сервер не знает никаких подробностей о вашем запросе.
💪 Надеюсь,
CSRFShark сможет стать незаменимым помощником для ваших исследований в сфере веб безопасности!✉️ Если у вас есть какие-либо вопросы или предложения, не стесняйтесь обращаться ко мне. Актуальный контакт для связи всегда можно найти в GitHub репозитории.
🔗 Ссылки:
👉 https://csrfshark.github.io/
👉 https://github.com/csrfshark/app/
😱3🔥1
Forwarded from Purple Chronicles (Hunter Biden)
Please open Telegram to view this post
VIEW IN TELEGRAM
Что ж... Наша лаборатория готова!😁
Лаборатория содержит 11 заданий на следующие темы:
[1-3] Брутфорс
[4] Фаззинг
[5] SQLI
[6] SSTI
[7] JWT
[8] IDOR
[9] XXE
[10] XSS
[11] Bonus task — генерация Debugger PIN (при создании вдохновлялись исследованем одного из авторов @SidneyJobChannel, опубликованным на Habr)
Ждем от вас фидбек по лабе (что поправить/добавить)😊 Сначала исправим ошибки, которые вы найдете, а после, возможно, добавим несколько заданий и выложим на гит, чтобы любой желающий мог развернуть приложение локально и попрактиковаться в нашей лаборатории!😄
Авторы:
@CherepawwkaChannel
@SidneyJobChannel
Потестить лабу можно по здесь: тык
Лаборатория содержит 11 заданий на следующие темы:
[1-3] Брутфорс
[4] Фаззинг
[5] SQLI
[6] SSTI
[7] JWT
[8] IDOR
[9] XXE
[10] XSS
[11] Bonus task — генерация Debugger PIN (при создании вдохновлялись исследованем одного из авторов @SidneyJobChannel, опубликованным на Habr)
Ждем от вас фидбек по лабе (что поправить/добавить)😊 Сначала исправим ошибки, которые вы найдете, а после, возможно, добавим несколько заданий и выложим на гит, чтобы любой желающий мог развернуть приложение локально и попрактиковаться в нашей лаборатории!😄
Авторы:
@CherepawwkaChannel
@SidneyJobChannel
Потестить лабу можно по здесь: тык
👍2🔥2❤1
Привет, всем! А вы знали, что в Nuclei есть масса полезных вспомогательных функций? Если нет, то теперь вы в курсе! И, что особенно приятно, я подготовил для вас PDF, где подробно описаны эти функции. А еще у меня для вас приятная новость: скоро выйдет моя статья, в которой я постораюсь максимально просто донести как создавать кастомные шаблоны для nuclei! Так что ожидайте статью, она уже на подходе. Будет интересно, не пропустите!
❤2👍2🔥1😱1
Дорогие друзья! Я и мой коллега рады приветствовать вас в нашей веб-лаборатории! Мы создали эту лабораторию с одной целью — помочь начинающим ИБ-специалистам ознакомиться с основными уязвимостями в веб-приложениях☺️
Приложение содержит несколько заданий, в каждом из которых реализован некоторый изъян в безопасности (будь то словарный пароль, SQL-инъекция или XXE). Вы смело можете искать нестандартные пути решения, знакомиться с новыми для себя средствами анализа защищённости веб-приложений, пробовать различные полезные нагрузки и, главное, смотреть исходный код, позволяющий увидеть причину возникновения обнаруженной вами уязвимости🤨
💬 Мы также сделали минималистичную борду для сдачи флагов, а это значит, что вы сможете поделиться своими результатами с другими энтузиастами, обсудить интересные находки или рассказать свой способ решения👀
Так что добро пожаловать в FVWA, лабораторию, где мы стараемся создать возможности для всех, кто хочет и стремится стать лучше в сфере веб-безопасности🛸
🤫 P.S. 🤫
Публично лаборатория будет доступна еще пару недель, но вы всегда можете поднять ее локально, так как ссылку на исходники прикрепили к посту!📌
1️⃣ . Статья, где вы можете прочитать разбор заданий;
2️⃣ . Исходники на GitHub;
3️⃣ . Практиковаться онлайн.
Приложение содержит несколько заданий, в каждом из которых реализован некоторый изъян в безопасности (будь то словарный пароль, SQL-инъекция или XXE). Вы смело можете искать нестандартные пути решения, знакомиться с новыми для себя средствами анализа защищённости веб-приложений, пробовать различные полезные нагрузки и, главное, смотреть исходный код, позволяющий увидеть причину возникновения обнаруженной вами уязвимости
Так что добро пожаловать в FVWA, лабораторию, где мы стараемся создать возможности для всех, кто хочет и стремится стать лучше в сфере веб-безопасности
Публично лаборатория будет доступна еще пару недель, но вы всегда можете поднять ее локально, так как ссылку на исходники прикрепили к посту!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥5❤2👍2🔥1👏1
Пока есть шанс, нужно брать)
Price $5 (one-time) / Price $49 (one-time)
https://account.shodan.io/billing/member
Price $5 (one-time) / Price $49 (one-time)
https://account.shodan.io/billing/member
Nuclei — это просто☺️
🖥 Обязательный инструмент для всех багхантеров!
Приветствую тебя, уважаемый читатель. В статье изучим nuclei, исследуем его возможности и рассмотрим, как создавать кастомные шаблоны для эффективного тестирования безопасности веб-приложений.
📌 Совет:
Лучше потратьте больше времени на написание хорошего описания для своего теплейта, ведь потом, когда вы вернетесь, будет довольно сложно понять, для чего же это нужно)
Читать дальше
__ _
____ __ _______/ /__ (_)
/ __ \/ / / / ___/ / _ \/ /
/ / / / /_/ / /__/ / __/ /
/_/ /_/\__,_/\___/_/\___/_/
Приветствую тебя, уважаемый читатель. В статье изучим nuclei, исследуем его возможности и рассмотрим, как создавать кастомные шаблоны для эффективного тестирования безопасности веб-приложений.
Лучше потратьте больше времени на написание хорошего описания для своего теплейта, ведь потом, когда вы вернетесь, будет довольно сложно понять, для чего же это нужно)
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤2👍2😱1
Forwarded from Багхантер
Багхантер в России. Сегодня серьезные ребята собрались в Москве с одной целью - выпить шампанского. И посетить премию Awillix.
Слева направо
circuit
@chelovek_iz_kemerovo
@r0hack
@SidneyJobChannel
@sapronoff1
@motoluck
Слева направо
circuit
@chelovek_iz_kemerovo
@r0hack
@SidneyJobChannel
@sapronoff1
@motoluck
🔥6
Сходил на первую в России премию для пентестеров Pentest award by Awillix. Куча интересных людей в приятной обстановке. Спасибо Лизе за такую уютную атмосферу)
Помелькал на фотках, послушал крутые байки от яндекса, узнал про существование продажных вафов от бума и просто познакомился с кучей новых людей)
Спасибо всем за приятный вечер)P.S кого забыл, оптишите в лс
@x2a44
@brotherok
@dnevnik_infosec
@ramon93i7
@i_bo0om
@r0hack
@popsa_lizaa
@snovvcrash
@Paul_Axe
@bughunter_circuit
@motoluck
@Acrono
@s0i37_channel
Помелькал на фотках, послушал крутые байки от яндекса, узнал про существование продажных вафов от бума и просто познакомился с кучей новых людей)
Спасибо всем за приятный вечер)
@brotherok
@dnevnik_infosec
@ramon93i7
@i_bo0om
@r0hack
@popsa_lizaa
@snovvcrash
@Paul_Axe
@bughunter_circuit
@motoluck
@Acrono
@s0i37_channel
🔥10❤🔥3❤2🎉1
❤️🔥 200 подписчиков ❤️🔥
Спасибо каждому за подписку, постараюсь и дальше радовать вас интересным чтивом)
P. S.
Сейчас немного процесс затормозиться и контент будет выходить реже (ОГЭ все таки сдаю в этом году), но постараюсь не понижать планку контента, а делать его только лучше)
Спасибо каждому за подписку, постараюсь и дальше радовать вас интересным чтивом)
Сейчас немного процесс затормозиться и контент будет выходить реже (ОГЭ все таки сдаю в этом году), но постараюсь не понижать планку контента, а делать его только лучше)
❤🔥9👍6🥰3❤1
Forwarded from Багхантер
SidneyJob - эксперт в информационной безопасности, ученик 9 класса. В докладе затронет тему безопасности фреймворка Flask, где расскажет о том как одним хитрым методом раскрутить RCE в этой софтине. А еще у него есть канал @SidneyJobChannel
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥15👍2❤1
Forwarded from wr3dmast3r vs pentest
Content-Security-Policy: способ борьбы с уязвимостями межсайтового скриптинга 🔒
Настройка, использование и способы обхода защиты🐈
https://telegra.ph/Content-Security-Policy-10-31
Настройка, использование и способы обхода защиты
https://telegra.ph/Content-Security-Policy-10-31
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegraph
Content Security Policy
Что такое CSP? Content-Security-Policy или CSP — это встроенная технология браузера, которая помогает защитить от атак, таких как межсайтовый скриптинг (XSS) . Она перечисляет и описывает пути и источники, из которых браузер может безопасно загружать ресурсы.…
👍7❤4❤🔥2🤔1
С последнего сентябрьского поста прошло довольно много времени, пришла пора исправляться и делать посты в канал🙈
Расскажу немного интересного, что вообще успело произойти за все это время:
🟣 Устроился на работу в Awillix
🟣 Начал понемножку хантить) (не густо, но буду стараться сделать больше)
🟣 Наконец-то дошли руки до статьи по корсу (P.S она скоро должна выйти)
🟣 Сгонял с командой на "VII Кубок CTF России 2023", заняли только 3 место, но для первого раза не плохо)
🟣 Побывал на Standoff Talks и познакомился просто с кучей классных людей)
Расскажу немного интересного, что вообще успело произойти за все это время:
Please open Telegram to view this post
VIEW IN TELEGRAM
Telegram
Just Security
Про практическую кибербезопасность без воды и рекламы.
Авторы — awillix.ru 😼 одна из лучших offensive-компаний в России.
Pentest award — award.awillix.ru
Подкаст — https://www.youtube.com/@awillix_security
Контакт: @popsa_lizaa
Авторы — awillix.ru 😼 одна из лучших offensive-компаний в России.
Pentest award — award.awillix.ru
Подкаст — https://www.youtube.com/@awillix_security
Контакт: @popsa_lizaa
❤13🔥8👍6❤🔥1
Мы с моим другом сделали нашу первую статью для журнала xakep😁
В этой статье мы вспомнили, как работает SOP и CORS, посмотрели на возможные мисконфиги и способы их эксплуатации, провели несколько экспериментов и даже вспомнили, как работают регулярки! Если ты разработчик, старайся не допускать подобных оплошностей, а если пентестер, то помоги в этом разработчику!
🔓 Линк на статью: тык
💬 @SidneyJobChannel
#cors #web
В этой статье мы вспомнили, как работает SOP и CORS, посмотрели на возможные мисконфиги и способы их эксплуатации, провели несколько экспериментов и даже вспомнили, как работают регулярки! Если ты разработчик, старайся не допускать подобных оплошностей, а если пентестер, то помоги в этом разработчику!
#cors #web
Please open Telegram to view this post
VIEW IN TELEGRAM
❤15👍12🔥5