Forwarded from Кавычка (crlf)
attacking_bitrix.pdf
3.6 MB
Уязвимости и атаки на CMS Bitrix
1. Особенности
2. Уязвимости
3. Методы атак
Приятного чтения!
1. Особенности
2. Уязвимости
3. Методы атак
Приятного чтения!
🔥14👍3
Forwarded from Кавычка (Bo0oM)
Забавный способ уйти от систем защит - использовать другие системы счисления в #js для скрытия полезной нагрузки.
Например, функция parseInt может позволить перевести строку
>
<
Чтобы выполнить, необходимо воспользоваться функцией
Например, функция parseInt может позволить перевести строку
alert в числовое значение переведя значение в 36-ричную систему счисления:>
parseInt('alert', 36)<
17795081Чтобы выполнить, необходимо воспользоваться функцией
toString и перевести число обратно в строку:top[17795081..toString(36)]()
>👍11🔥3
YAH
Подкасты Многим это откликнулось, а я искренне хочу со своими друзьями и коллегами по цеху продолжить писать подкасты для вас. И я знаю хорошу тему для еще одного выпуска: “N вопросов пентестеру” N, потому что не знаю сколько их выйдет заранее;) Предлагаю…
Подкаст
Наконец-то вышла первая серия нашего нового подкаста: Yet Another Hacker.
Приглашаю всех к обсуждению темы поднятой в подкасте: Этичный хакинг и 1000 вопросов.
В этой серии мы снимаем все глупые, умные, хитрые, популярные, правильные и не правильные вопросы, которые возникают к этичным хакерам / пентестерам / специалистам по анализу защищенности. В гостях: Сергей Колесников (@tr3harder) и Павел Шлюндин (@riocool)
В подкасте мы ответили на все вопросы, заданные вами в чате, и, как и обещали, вознаградили лучший вопрос в 100€!
Победитель оглашен в самом подкасте, предлагаю ему самому выйти с нами на связь, а всем остальным приятного прослушивания и ждем ваших комментов!
Episode page: https://podcast.ru/e/10XpQO-dMrQ
Podcast page: https://podcast.ru/1626820774
Наконец-то вышла первая серия нашего нового подкаста: Yet Another Hacker.
Приглашаю всех к обсуждению темы поднятой в подкасте: Этичный хакинг и 1000 вопросов.
В этой серии мы снимаем все глупые, умные, хитрые, популярные, правильные и не правильные вопросы, которые возникают к этичным хакерам / пентестерам / специалистам по анализу защищенности. В гостях: Сергей Колесников (@tr3harder) и Павел Шлюндин (@riocool)
В подкасте мы ответили на все вопросы, заданные вами в чате, и, как и обещали, вознаградили лучший вопрос в 100€!
Победитель оглашен в самом подкасте, предлагаю ему самому выйти с нами на связь, а всем остальным приятного прослушивания и ждем ваших комментов!
Episode page: https://podcast.ru/e/10XpQO-dMrQ
Podcast page: https://podcast.ru/1626820774
Podcast.ru
Серия #1 - Этичный хакинг и 1000 вопросов – YAH – Podcast.ru
В этой серии мы снимаем все глупые, умные, хитрые, популярные, правильные и не правильные вопросы, которые возникают к этичным хакерам / пентестерам / специалистам по анализу защищенности. В гостях: Сергей Колесников и Павел Шлюндин
👍16🔥3
Forwarded from Ralf Hacker Channel (Ralf Hacker)
This media is not supported in your browser
VIEW IN TELEGRAM
MS-MSDT 0-day Office RCE PoC
* https://github.com/JohnHammond/msdt-follina
* https://github.com/chvancooten/follina.py
#exploit #redteam
* https://github.com/JohnHammond/msdt-follina
* https://github.com/chvancooten/follina.py
#exploit #redteam
🔥5🎉3
Вышло небольшое интервью о последнем участвии в турнире The Standoff. Если будут какие-то вопросы, рад буду поотвечать в комментариях.
P.S. Не смотрите на то, что я пытаюсь орать в микро. Там было оч. громко;D
P.S. Не смотрите на то, что я пытаюсь орать в микро. Там было оч. громко;D
Forwarded from YouPentest
Интервью с организаторами PHDays 11 - компанией Positive Technologies и командой атакующих True0xA3
https://www.youtube.com/watch?v=K70t1hNbDQQ
https://www.youtube.com/watch?v=K70t1hNbDQQ
YouTube
Интервью с организаторами PHDays 11 - компанией Positive Technologies и командой атакующих True0xA3
Редакция CISOCLUB посетила 11 международный форум по практической безопасности Positive Hack Days и пообщалась с организаторами - компанией Positive Technologies и командой атакующих True0xA3.
0:20 Максим Филиппов
Директор по развитию бизнеса Positive Technologies…
0:20 Максим Филиппов
Директор по развитию бизнеса Positive Technologies…
🔥8👍4
Forwarded from PT SWARM
🦥 Everyone learned to run pip install colorama to exploit Atlassian Confluence RCE (CVE-2022-26134), so let’s see how the vulnerability works under the hood.
Here we show our simplified payload which demonstrates a workflow inside the vulnerable code.
Here we show our simplified payload which demonstrates a workflow inside the vulnerable code.
👍7
Forwarded from InfoSec
This media is not supported in your browser
VIEW IN TELEGRAM
Хороший плагин к BurpSuite - HopLa. Грубо говоря - PayloadAllTheThings с автокомплитом.
Пушка для ленивых и забывчивых 😅
Пушка для ленивых и забывчивых 😅
🔥24
Singleton CTF
Всех с праздниками!
Я уже несколько раз говорил, что наша лучшая пентест тима ищет увлеченных темой веб-пентеста специалистов. Для упрощения отбора мы подняли небольшой CTF’чик на простые техники эксплуатации веб уязвимостей.
Если интересно попробовать свои силы, велкам: ctf.singleton-security.ru (будем пополнять тасочками)
Главный приз - возможность к нам присоединиться! ;D
Всех с праздниками!
Я уже несколько раз говорил, что наша лучшая пентест тима ищет увлеченных темой веб-пентеста специалистов. Для упрощения отбора мы подняли небольшой CTF’чик на простые техники эксплуатации веб уязвимостей.
Если интересно попробовать свои силы, велкам: ctf.singleton-security.ru (будем пополнять тасочками)
Главный приз - возможность к нам присоединиться! ;D
👍12🔥5
Подкаст
А вот и вторая серия нашего подкаста: Yet Another Hacker.
Вместе с гостем подкаста мы развили увлекательнейшую тему для большинства наших слушателей - Соревновательность в хакинге и соревнования.
В этой серии мы обсуждаем тему, которая делает хакинг для многих столь привлекательным. Очень часто специалисты здесь могут и хотят померяться силами: кто быстрее взломает? кто больше знает? кто больше опыта имеет? Отчасти поэтому турниры и багбаунти платформы так популярны. Все видят подиум, но могут даже не представлять себе то, что на пути к этому подиуму стоит. Стоит ли игра свеч, является ли успех в соревновательных активностях показательным или обманчивым, как часто именно пентестеры проявляют себя в подобного рода мероприятиях и как часто это делают не они - вопросы нашей сегодняшней встречи.
В гостях: Омар Ганиев (@beched)
Episode page: https://podcast.ru/e/Yelq50Lk86
Podcast page: https://podcast.ru/1626820774
P.S. Всем приятного прослушивания!
А вот и вторая серия нашего подкаста: Yet Another Hacker.
Вместе с гостем подкаста мы развили увлекательнейшую тему для большинства наших слушателей - Соревновательность в хакинге и соревнования.
В этой серии мы обсуждаем тему, которая делает хакинг для многих столь привлекательным. Очень часто специалисты здесь могут и хотят померяться силами: кто быстрее взломает? кто больше знает? кто больше опыта имеет? Отчасти поэтому турниры и багбаунти платформы так популярны. Все видят подиум, но могут даже не представлять себе то, что на пути к этому подиуму стоит. Стоит ли игра свеч, является ли успех в соревновательных активностях показательным или обманчивым, как часто именно пентестеры проявляют себя в подобного рода мероприятиях и как часто это делают не они - вопросы нашей сегодняшней встречи.
В гостях: Омар Ганиев (@beched)
Episode page: https://podcast.ru/e/Yelq50Lk86
Podcast page: https://podcast.ru/1626820774
P.S. Всем приятного прослушивания!
Podcast.ru
Серия #2 - Соревновательность в хакинге и соревнования – YAH – Podcast.ru
Серия 2В этой серии мы обсуждаем тему, которая делает хакинг для многих столь привлекательным - слава. Очень часто специалисты здесь могут и хотят померяться силами: кто быстрее взломает? кто больше знает? кто больше опыта имеет? Отчасти поэтому турниры и…
👍20🔥5
Последний запуск длинных курсов по ИБ от CyberEd
Образовательный центр по кибербезопасности CyberEd в июне последний раз запускает длинные курсы в «живом» формате по профессиям «Специалист по тестированию на проникновение» и «Специалист по информационной безопасности».
Успейте присоединиться к последнему потоку!
🔴 Специалист по тестированию на проникновение - RedTeam - старт 20 июня 2022, длит. 9 мес.
🔵 Специалист по информационной безопасности - BlueTeam - старт 27 июня 2022, длит. 7 мес.
Образовательный центр по кибербезопасности CyberEd в июне последний раз запускает длинные курсы в «живом» формате по профессиям «Специалист по тестированию на проникновение» и «Специалист по информационной безопасности».
Успейте присоединиться к последнему потоку!
🔴 Специалист по тестированию на проникновение - RedTeam - старт 20 июня 2022, длит. 9 мес.
🔵 Специалист по информационной безопасности - BlueTeam - старт 27 июня 2022, длит. 7 мес.
👍6
Forwarded from BI.ZONE
🐞Добро пожаловать в «Клуб неанонимных багхантеров»!
Мы собираем свою тусовку с докладами и обсуждением насущных вопросов о bug bounty!
Первая порция приглашений уже улетела в почту тем, кто зарегистрировался на нашей платформе.
Мы говорили внимательнее следить за почтой :)
Если вам интересен поиск уязвимостей, в эту пятницу ждем вас на нашем митапе.
Когда: 1 июля, в 18:00 (мск)
Где: Конференц-зал BI.ZONE, Москва
Формат: толькохардкор офлайн!
Как стать участником нашего клуба и попасть на встречу:
— Зарегистрируйтесь как багхантер на сайте BI.ZONE
— Забронируйте билет на митап через TimePad
Количество мест ограничено!
Мы собираем свою тусовку с докладами и обсуждением насущных вопросов о bug bounty!
Первая порция приглашений уже улетела в почту тем, кто зарегистрировался на нашей платформе.
Если вам интересен поиск уязвимостей, в эту пятницу ждем вас на нашем митапе.
Когда: 1 июля, в 18:00 (мск)
Где: Конференц-зал BI.ZONE, Москва
Формат: только
Как стать участником нашего клуба и попасть на встречу:
— Зарегистрируйтесь как багхантер на сайте BI.ZONE
— Забронируйте билет на митап через TimePad
Количество мест ограничено!
👍9
Почти подкаст
Всем привет. Уже скоро вас ждет выпуск нового подкаста! Но т.к. этот выпуск получился особенным по своей длительности (Слишком горячая тема), я бы хотел пригласить кого-нибудь из увлеченных слушателей написать для выпуска тайм-коды. Для того чтобы остальные могли перейти сразу к самым интересным моментам;)
(У меня есть сценарий всего подкаста, поэтому это будет достаточно просто.)
Если вы не против заняться чем-то подобным, пишите мне в ЛС: @empty_jack
Всем привет. Уже скоро вас ждет выпуск нового подкаста! Но т.к. этот выпуск получился особенным по своей длительности (Слишком горячая тема), я бы хотел пригласить кого-нибудь из увлеченных слушателей написать для выпуска тайм-коды. Для того чтобы остальные могли перейти сразу к самым интересным моментам;)
(У меня есть сценарий всего подкаста, поэтому это будет достаточно просто.)
Если вы не против заняться чем-то подобным, пишите мне в ЛС: @empty_jack
👍6
Подкаст
В этой серии подкаста Yet Another Hacker мы поговорили о Bug Bounty (Баунти Хантинге), в разрезе его плюсов и минусов, как для самого хантера так и организаций участвующих в этом процессе. Мы поговорили обо всех тонкостях, сложностях организации программ и участия в них, а также о мотивации, подходе и пути в этом непростом деле с одним из ярких представителей этого сообщества.
В гостях: Никита Ступин (@nikitastupin)
Подкаст к.м.к. получился классный, огромное спасибо Никите за то, что так подробно и развернуто отвечал, и конечно же за то, что поделился своим взглядом.
Если у вас останутся интересные вопросы для баунти хантеров, пишите в комментарии.
Link: https://podcast.ru/e/6E.UlMdm5l./
В этой серии подкаста Yet Another Hacker мы поговорили о Bug Bounty (Баунти Хантинге), в разрезе его плюсов и минусов, как для самого хантера так и организаций участвующих в этом процессе. Мы поговорили обо всех тонкостях, сложностях организации программ и участия в них, а также о мотивации, подходе и пути в этом непростом деле с одним из ярких представителей этого сообщества.
В гостях: Никита Ступин (@nikitastupin)
Подкаст к.м.к. получился классный, огромное спасибо Никите за то, что так подробно и развернуто отвечал, и конечно же за то, что поделился своим взглядом.
Если у вас останутся интересные вопросы для баунти хантеров, пишите в комментарии.
Link: https://podcast.ru/e/6E.UlMdm5l./
Podcast.ru
Серия #3 - BugBounty глазами исследователя – YAH – Podcast.ru
В сегодняшней серии подкаста Yet Another Hacker мы поговорим о Bug Bounty (Баунти Хантинге), в разрезе его плюсов и минусов, как для самого хантера так и организаций участвующих в этом процессе. Мы поговорим обо всех тонкостях, сложностях организации программ…
🔥12🎉3👍1
Киберучения The Standoff теперь 24/7/365
На платформе The Standoff 365 открылся онлайн-киберполигон, где можно ломать копии реальных инфраструктур компаний, оттачивая навыки пентеста или исследуя новые техники атак нон-стоп 24/7/365.
Сейчас на The Standoff 365 исследователи могут тестировать защищенность трех сегментов: корпоративного, энергетического и банковского.
Если хотели оставить город без света или ограбить банк — сделайте это на The Standoff 365 😉
Регистрация открыта для всех желающих.
На платформе The Standoff 365 открылся онлайн-киберполигон, где можно ломать копии реальных инфраструктур компаний, оттачивая навыки пентеста или исследуя новые техники атак нон-стоп 24/7/365.
Сейчас на The Standoff 365 исследователи могут тестировать защищенность трех сегментов: корпоративного, энергетического и банковского.
Если хотели оставить город без света или ограбить банк — сделайте это на The Standoff 365 😉
Регистрация открыта для всех желающих.
👍25🔥4