#workshop
В HackerU (У станции метро Тульская) пройдет воркшоп на тему “Разработка Android-приложения с помощью Kotlin”.
Разрботка на котлин не самое веселое занятие, а вот описание очень привлекло “На воркшопе поговорим о том, что нового привнес Kotlin в мобильную разработку, и напишем приложение для анализа Wi-Fi сетей.”
Кому интересно, сюда:
https://hackeru.timepad.ru/event/1095706/
В HackerU (У станции метро Тульская) пройдет воркшоп на тему “Разработка Android-приложения с помощью Kotlin”.
Разрботка на котлин не самое веселое занятие, а вот описание очень привлекло “На воркшопе поговорим о том, что нового привнес Kotlin в мобильную разработку, и напишем приложение для анализа Wi-Fi сетей.”
Кому интересно, сюда:
https://hackeru.timepad.ru/event/1095706/
#news
Бизоны открыли свой канальчик: https://news.1rj.ru/str/bizone_channel
Подписываемся, ставим лайки, жмем на колокольчик!
Бизоны открыли свой канальчик: https://news.1rj.ru/str/bizone_channel
Подписываемся, ставим лайки, жмем на колокольчик!
Telegram
BI.ZONE
Компания по управлению цифровыми рисками
Мы помогаем организациям по всему миру безопасно развивать бизнес в цифровую эпоху
Регистрация в РКН: https://www.gosuslugi.ru/snet/692986a779f7e53c3a54b508
Сайт: https://bi.zone
BI.ZONE Bug Bounty: @bizone_bb
Мы помогаем организациям по всему миру безопасно развивать бизнес в цифровую эпоху
Регистрация в РКН: https://www.gosuslugi.ru/snet/692986a779f7e53c3a54b508
Сайт: https://bi.zone
BI.ZONE Bug Bounty: @bizone_bb
#zeronights
12го ноября в Питере пройдёт частая
хакерская вечеринка в крутом баре. Будет CTF, конкурсы, общение, бесплатные напитки.
Подробности тут: http://getshell.bar
12го ноября в Питере пройдёт частая
хакерская вечеринка в крутом баре. Будет CTF, конкурсы, общение, бесплатные напитки.
Подробности тут: http://getshell.bar
#android #sec
В общем. Я постоянно теряюсь, что проверять при анализе защищенности Android приложения. Постоянно боюсь что-то забыть. OWASP MSTG слишком большой, чтобы его листать на каждое приложение и вычитывать.
Решил запилить для себя чеклист.(Он пока сырой, буду активно дописывать по мере проверок мобилок)
Главный принцип в нем (Который я выработал для себя, вам он конечно же может быть не удобен) - это делать проверки похожих\рядом лежащих вещей максимально близко друг к другу.
Т.е. я обычно сначала открывают AndroidManifest и начинаю смотреть че там есть. Значит тут сразу смотрим бэкап дебаг, и тд. Потом секреты, потом идем в логи и прочее.
Соответственно, я расположил проверки так, как сам по ним иду. Может кто-то что-то подглядит, может кто-то возьмется это юзать (Упаси боже твою душу грешную).
Сам чек-лист тут: https://github.com/empty-jack/YAASC
В общем. Я постоянно теряюсь, что проверять при анализе защищенности Android приложения. Постоянно боюсь что-то забыть. OWASP MSTG слишком большой, чтобы его листать на каждое приложение и вычитывать.
Решил запилить для себя чеклист.(Он пока сырой, буду активно дописывать по мере проверок мобилок)
Главный принцип в нем (Который я выработал для себя, вам он конечно же может быть не удобен) - это делать проверки похожих\рядом лежащих вещей максимально близко друг к другу.
Т.е. я обычно сначала открывают AndroidManifest и начинаю смотреть че там есть. Значит тут сразу смотрим бэкап дебаг, и тд. Потом секреты, потом идем в логи и прочее.
Соответственно, я расположил проверки так, как сам по ним иду. Может кто-то что-то подглядит, может кто-то возьмется это юзать (Упаси боже твою душу грешную).
Сам чек-лист тут: https://github.com/empty-jack/YAASC
GitHub
GitHub - empty-jack/YAASC: A list of checks with tips for analyzing the security of Android applications
A list of checks with tips for analyzing the security of Android applications - GitHub - empty-jack/YAASC: A list of checks with tips for analyzing the security of Android applications
#ctf #python #file_read
После прошедшего ASISCTF собрал словарик с распространенными в Python фреймворках файлами.
https://github.com/empty-jack/YAWR/blob/master/files_and_directories/python-frameworks.txt
Вдрег кому-нибудь, когда нибудь пригодится.
После прошедшего ASISCTF собрал словарик с распространенными в Python фреймворках файлами.
https://github.com/empty-jack/YAWR/blob/master/files_and_directories/python-frameworks.txt
Вдрег кому-нибудь, когда нибудь пригодится.
#ctf #web #misc
В поисках годноты по SSRF вспомнил про репозиторий, которым стоило бы поделиться.
Взялся даже перечитать некоторые статьи.
Repo: https://ctf-wiki.github.io/ctf-wiki/
В поисках годноты по SSRF вспомнил про репозиторий, которым стоило бы поделиться.
Взялся даже перечитать некоторые статьи.
Repo: https://ctf-wiki.github.io/ctf-wiki/
ctf-wiki.org
简介 - CTF Wiki
Forwarded from Cybershit
This media is not supported in your browser
VIEW IN TELEGRAM
GitHub прям врывается в безопасность открытого ПО, и вот почему:
1. В сентябре компания получила статус CNA (CVE Numbering Authority), что позволяет ей выпускать идентификаторы CVE для библиотек и продуктов, размещенных на GitHub.
2. На прошлой неделе они анонсировали собственную базу CVE под названием GitHub Advisory Database.
3. Сделали возможность подачу заявок на CVE из интерфейса GitHub с последующим оповещением всех затронутых проектов.
4. Теперь в течении нескольких секунд после коммита GitHub сканирует ваш код на наличие в нем токенов различных облачных провайдеров, а в случае совпадения уведомляет.
5. Теперь помимо уведомления об уязвимых зависимостях в коде, GitHub автоматически создает pull request на их исправление.
Ну не лапочки?
Подробнее о последнем апдейте: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/
1. В сентябре компания получила статус CNA (CVE Numbering Authority), что позволяет ей выпускать идентификаторы CVE для библиотек и продуктов, размещенных на GitHub.
2. На прошлой неделе они анонсировали собственную базу CVE под названием GitHub Advisory Database.
3. Сделали возможность подачу заявок на CVE из интерфейса GitHub с последующим оповещением всех затронутых проектов.
4. Теперь в течении нескольких секунд после коммита GitHub сканирует ваш код на наличие в нем токенов различных облачных провайдеров, а в случае совпадения уведомляет.
5. Теперь помимо уведомления об уязвимых зависимостях в коде, GitHub автоматически создает pull request на их исправление.
Ну не лапочки?
Подробнее о последнем апдейте: https://github.blog/2019-11-14-announcing-github-security-lab-securing-the-worlds-code-together/
Forwarded from OFFZONE
⚡️На старт, внимание, марш! Объявляем соревнования CTFZone открытыми. Более 700 команд поборются за выход в финал, который состоится на OFFZONE 2020.
Актуальная стата - https://ctf.bi.zone/scoreboard
Техподдержка - https://news.1rj.ru/str/ctfzone2019
Желаем удачи!
Актуальная стата - https://ctf.bi.zone/scoreboard
Техподдержка - https://news.1rj.ru/str/ctfzone2019
Желаем удачи!
Не пропустите OWASP Meetup Russia!
https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA
https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA
Meetup
Login to Meetup | Meetup
Not a Meetup member yet? Log in and find groups that host online or in person events and meet people in your local community who share your interests.
YAH
Не пропустите OWASP Meetup Russia! https://www.meetup.com/ru-RU/OWASP-Moscow/events/266925142/?rv=ea1_v2&_xtd=gatlbWFpbF9jbGlja9oAJGM1MTJjZmU4LTJlYTgtNGI0OS05MzZiLTI0YWUyMTc1MDExNA
YouTube
[OWASP Moscow Meetup #9] «Тестирование безопасности GraphQL», Егор Богомолов, Wallarm
«Тестирование безопасности GraphQL», Егор Богомолов, Wallarm. О подходах к тестированию GraphQL API: что искать, какие инструменты могут облегчить жизнь, а также интересные непопулярные атаки на GraphQL, открывающие новые возможности в эксплуатации.
Презентация:…
Презентация:…
#misc
Мало что можно найти айтишного (адекватного) среди сериалов и фильмов но, пролистывая список популярного на Netflix, я приметил один и не прогадал.
Вашему вниманию, один из лучших сериалов про OSINT, еще и с захватывающей историей: Don’t f**k with cats (https://www.netflix.com/noscript/81031373)
Мало что можно найти айтишного (адекватного) среди сериалов и фильмов но, пролистывая список популярного на Netflix, я приметил один и не прогадал.
Вашему вниманию, один из лучших сериалов про OSINT, еще и с захватывающей историей: Don’t f**k with cats (https://www.netflix.com/noscript/81031373)
Netflix
Watch Don't F**k with Cats: Hunting an Internet Killer | Netflix Official Site
A twisted criminal's gruesome videos drive a group of amateur online sleuths to launch a risky manhunt that pulls them into a dark underworld.
#misc
Для всех кто хочет стать гуру Vim.
Особенно полезно новичкам.
Link:
https://github.com/hakluke/how-to-exit-vim
Для всех кто хочет стать гуру Vim.
Особенно полезно новичкам.
Link:
https://github.com/hakluke/how-to-exit-vim
GitHub
GitHub - hakluke/how-to-exit-vim: Below are some simple methods for exiting vim.
Below are some simple methods for exiting vim. Contribute to hakluke/how-to-exit-vim development by creating an account on GitHub.
На очередном CTF столкнулся с интересным кейсом, предлагаю статью о прохождении.
https://ctftime.org/writeup/17998
На самом CTF задачу так и не решил, но желание закончить начатое было превыше всего.
История о атаках на Java десериализацию, Bash синтаксис и его трюки и другие интересные вещи.
https://ctftime.org/writeup/17998
На самом CTF задачу так и не решил, но желание закончить начатое было превыше всего.
История о атаках на Java десериализацию, Bash синтаксис и его трюки и другие интересные вещи.
ctftime.org
CTFtime.org / Insomni'hack teaser 2020 / Defiltrate - Part1 / Writeup
Capture The Flag, CTF teams, CTF ratings, CTF archive, CTF writeups
Полезные подсказки по тестированию Web API:
https://github.com/smodnix/31-days-of-API-Security-Tips/blob/master/README.md
Думаю, можно даже использовать как чеклист.
Для примера:
-API TIP: 4/31-
Testing a Ruby on Rails App & noticed an HTTP parameter containing a URL? Developers sometimes use "Kernel#open" function to access URLs == Game Over. Just send a pipe as the first character and then a shell command (Command Injection by design)
-API TIP:25/31-
Found an "export to PDF" feature? There's a good chance the developers use an external library to convert HTML --> PDF behind the scenes. Try to inject HTML elements and cause "Export Injection".
Learn more about Export Injection: https://medium.com/@inonst/export-injection-2eebc4f17117
https://github.com/smodnix/31-days-of-API-Security-Tips/blob/master/README.md
Думаю, можно даже использовать как чеклист.
Для примера:
-API TIP: 4/31-
Testing a Ruby on Rails App & noticed an HTTP parameter containing a URL? Developers sometimes use "Kernel#open" function to access URLs == Game Over. Just send a pipe as the first character and then a shell command (Command Injection by design)
-API TIP:25/31-
Found an "export to PDF" feature? There's a good chance the developers use an external library to convert HTML --> PDF behind the scenes. Try to inject HTML elements and cause "Export Injection".
Learn more about Export Injection: https://medium.com/@inonst/export-injection-2eebc4f17117
GitHub
31-days-of-API-Security-Tips/README.md at master · inonshk/31-days-of-API-Security-Tips
This challenge is Inon Shkedy's 31 days API Security Tips. - inonshk/31-days-of-API-Security-Tips