Дорогие друзья! Я и мой коллега рады приветствовать вас в нашей веб-лаборатории! Мы создали эту лабораторию с одной целью — помочь начинающим ИБ-специалистам ознакомиться с основными уязвимостями в веб-приложениях☺️

Приложение содержит несколько заданий, в каждом из которых реализован некоторый изъян в безопасности (будь то словарный пароль, SQL-инъекция или XXE). Вы смело можете искать нестандартные пути решения, знакомиться с новыми для себя средствами анализа защищённости веб-приложений, пробовать различные полезные нагрузки и, главное, смотреть исходный код, позволяющий увидеть причину возникновения обнаруженной вами уязвимости🤨

💬Мы также сделали минималистичную борду для сдачи флагов, а это значит, что вы сможете поделиться своими результатами с другими энтузиастами, обсудить интересные находки или рассказать свой способ решения👀

Так что добро пожаловать в FVWA, лабораторию, где мы стараемся создать возможности для всех, кто хочет и стремится стать лучше в сфере веб-безопасности🛸

🤫P.S.🤫
Публично лаборатория будет доступна еще пару недель, но вы всегда можете поднять ее локально, так как ссылку на исходники прикрепили к посту!📌

Ссылки на ресурсы:
1️⃣. Статья, где вы можете прочитать разбор заданий;
2️⃣. Исходники на GitHub;
3️⃣. Практиковаться онлайн.

Nuclei — это просто☺️

                     __     _
   ____  __  _______/ /__  (_)
  / __ \/ / / / ___/ / _ \/ /
 / / / / /_/ / /__/ /  __/ /
/_/ /_/\__,_/\___/_/\___/_/

🖥Обязательный инструмент для всех багхантеров!

Приветствую тебя, уважаемый читатель. В статье изучим nuclei, исследуем его возможности и рассмотрим, как создавать кастомные шаблоны для эффективного тестирования безопасности веб-приложений.

📌Совет:
Лучше потратьте больше времени на написание хорошего описания для своего теплейта, ведь потом, когда вы вернетесь, будет довольно сложно понять, для чего же это нужно)

Читать дальше

Content-Security-Policy: способ борьбы с уязвимостями межсайтового скриптинга 🔒

Настройка, использование и способы обхода защиты 🐈

https://telegra.ph/Content-Security-Policy-10-31

С последнего сентябрьского поста прошло довольно много времени, пришла пора исправляться и делать посты в канал🙈

Расскажу немного интересного, что вообще успело произойти за все это время:
🟣Устроился на работу в Awillix
🟣Начал понемножку хантить) (не густо, но буду стараться сделать больше)
🟣Наконец-то дошли руки до статьи по корсу (P.S она скоро должна выйти)
🟣Сгонял с командой на "VII Кубок CTF России 2023", заняли только 3 место, но для первого раза не плохо)
🟣Побывал на Standoff Talks и познакомился просто с кучей классных людей)

Мы с моим другом сделали нашу первую статью для журнала xakep😁

В этой статье мы вспомнили, как работает SOP и CORS, посмотрели на возможные мисконфиги и способы их эксплуатации, провели несколько экспериментов и даже вспомнили, как работают регулярки! Если ты разработчик, старайся не допускать подобных оплошностей, а если пентестер, то помоги в этом разработчику!

🔓 Линк на статью: тык

💬 @SidneyJobChannel

#cors #web

⚡️Конкурс!⚡️

Наши друзья из Positive Technologies предоставили нам 6 проходок на PhD для проведения благотворительного конкурса. Читаем инфу ниже!

📎 Описание конкурса:
Вы пишете обезличенный отчет, в котором рассказываете о своей самой интересной баге, отправляете отчет в бота. Позже команда жюри оценит его, а уже 17 мая мы свяжемся с участниками и отдадим их заслуженные призы).

🏅 Призы:
Жюри выберет топ 6 участников для полноценной или частичной компенсации билетов на PositiveHackDays и обратно!

🔖 Как мне участвовать?
1. Являться школьником/студентом бакалавриата или специалитета
2. Отправить файл формата .docx или .pdf с описанием бага в нашего бота (В описании к файлу должно содежаться слово Заявка)

⏰ Время проведения:
6го мая в 15:00 - Старт приема заявок
13 мая 15:00 - Закрытие приема заявок
17 мая 17:00 Оглашение результатов

📝 Критерии оценивания:
1. Подробность описания (3 балла)
2. Сложность эксплуатации (2 балла)
3. Нестандартный подход и креативность (3 балла)
4. Вау-эффект (субъективный параметр на усмотрение членов жюри) (2 балла)

👀 Состав жюри:
@SidneyJob (Пентестер, автор канала Заметочки SidneyJob)
@curiv (Пентестер, активист ИБ сообщества, основатель @dc7342, @permctf, автор канала @pathsecure)
@cyrus_0x00 (Пентестер в компании DeteAct ✨)
@brotherok (Багхантер, автора канала ШКИБыть)
@bughunter_circuit (Автор канала о багхантинге)
<конечный список жюри уточняется>

💰Бюджет:
Бюджет на оплату дороги для всех участников - 120 тысяч. Мы тратим весь планируемый бюджет, в том числе, в счет компенсации оплаты дороги друим победителям.

📃 Что будет с отчетами?
Планируется опубликовать отчеты победителей (при согласии автора)

👉 Важная деталь: Жюри и бюджет формируется независимыми инициативными участниками русскоязычного ИБ сообщества. Конкурс следует воспринимать как благотворительность в отношении перспективных молодых талантов. Мы убеждены, что за такими специалистами находится будущее ИБ сообщества.

💬 По всем вопросам писать сюда: @SidneyJob, @CuriV