Forwarded from Минцифры России
Участники бесплатного онлайн-курса узнают, как проверять ИТ-инфраструктуру компаний на прочность, как находить уязвимости в защите и как противостоять кибератакам.
Белые хакеры — это специалисты по ИТ-безопасности, которые стоят на защите интересов государства и бизнеса. Они участвуют в пентестах и Bug Bounty и получают за найденные уязвимости миллионы рублей.
Курс разработали лучшие представители профессии совместно с образовательным центром CyberEd при поддержке Минцифры. Специалисты поделятся историями из своей практики и расскажут, что по-настоящему значит быть белым хакером.
На курсе научат:
Курс длится 48 академических часов. За это время участники разберут 12 уровней атак.
@mintsifry #кибербез
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍4🤯4
Forwarded from Just Security
This media is not supported in your browser
VIEW IN TELEGRAM
Жюри Pentest Awards by Awillix
Просим любить и жаловать 👏
1. Илья Карпов. Руководитель отдела исследований кибербезопасности и разработки сценариев киберучений в Национальном киберполигоне. Зарегистрировал более 300 CVE, топ-5 BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity.
2. Александр Герасимов. Сооснователь Awillix.
3. Павел Топорков (Paul Axe). Независимый исследователь. Багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack.
4. Егор Богомолов. Генеральный директор Singleton Security и управляющий директор школы CyberEd, которая дает 6 грантов на обучение на любом своем курсе всем, кто займет вторые места в премии🤩
5. Роман Панин. Руководитель blue team в МТС. Строил с нуля и развивал процессы ИБ в ФинТехе, Нефтянке и Телекоме. Автор телеграм-канала «Пакет Безопасности».
6. Роман Шемякин. Lead Application Security Engineer at Yandex.
7. Михаил Сидорук. Руководитель управления анализа защищенности, BI.ZONE — компания, которая дарит 6 билетов OFFZONE, всем кто займет первые места.
8. Евгений Андрюхин. Специалист по тестированию на проникновение сертифицированный OSCP/OSCE/OSWE/CRTP/Attacking Active Directory with Linux/ Cloud Security: AWS Edition/ Windows Kernel Programming Course by Pavel Yosifovich.
9. Николай Хечумов. Senior Security Engineer в Avito. Автор утилиты для поиска секретов DeepSecrets.
Теперь вы знаете, кому строить глазки, чтобы получить оценку повыше 😏 ну а если серьезно, все критерии оценки работ давно есть на сайте — https://award.awillix.ru/
Ждем ваших работ!
Просим любить и жаловать 👏
1. Илья Карпов. Руководитель отдела исследований кибербезопасности и разработки сценариев киберучений в Национальном киберполигоне. Зарегистрировал более 300 CVE, топ-5 BDU ФСТЭК. Сооснователь сообщества Ruscadasec и группы исследователей ScadaXSecurity.
2. Александр Герасимов. Сооснователь Awillix.
3. Павел Топорков (Paul Axe). Независимый исследователь. Багхантер, докладчик на международных конференциях, автор уязвимостей нулевого дня в таких известных продуктах как Siemens, Redis, OpenStack.
4. Егор Богомолов. Генеральный директор Singleton Security и управляющий директор школы CyberEd, которая дает 6 грантов на обучение на любом своем курсе всем, кто займет вторые места в премии🤩
5. Роман Панин. Руководитель blue team в МТС. Строил с нуля и развивал процессы ИБ в ФинТехе, Нефтянке и Телекоме. Автор телеграм-канала «Пакет Безопасности».
6. Роман Шемякин. Lead Application Security Engineer at Yandex.
7. Михаил Сидорук. Руководитель управления анализа защищенности, BI.ZONE — компания, которая дарит 6 билетов OFFZONE, всем кто займет первые места.
8. Евгений Андрюхин. Специалист по тестированию на проникновение сертифицированный OSCP/OSCE/OSWE/CRTP/Attacking Active Directory with Linux/ Cloud Security: AWS Edition/ Windows Kernel Programming Course by Pavel Yosifovich.
9. Николай Хечумов. Senior Security Engineer в Avito. Автор утилиты для поиска секретов DeepSecrets.
Теперь вы знаете, кому строить глазки, чтобы получить оценку повыше 😏 ну а если серьезно, все критерии оценки работ давно есть на сайте — https://award.awillix.ru/
Ждем ваших работ!
👍11🔥1👏1🤯1
Forwarded from OFFZONE
Если вы хотите поделиться опытом, то проведите мастер-класс на OFFZONE 2023 в рамках серии воркшопов от CyberEd.
Для этого лично отправьте заявку в свободной форме на почту m.lagutina@cyber-ed.ru для Марии Лагутиной, руководителя департамента организации мероприятий и работы с комьюнити, CyberEd. В теме письма укажите «Заявка на участие в серии воркшопов CyberEd». CFP открыт до 16 июля.
В заявке должны быть указаны:
К заявке можно приложить любые материалы, которые помогут оценить ваш контент, — demo, white papers, PoC. Рекламировать вендоров или продукты в рамках воркшопа нельзя.
Если запрос одобрят, вам на почту после 20 июля придет письмо. Подтвердить участие нужно в течение 24 часов.
Каждый тренер воркшопа получит пакет плюшек:
Ждем ваши заявки! Подробности на сайте CyberEd.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10
Кстати, считаю это офигенным новым большим форматом. Крутые Эксперты могут не тратить свои топ ресерчи, а рассказать свои боевые вещи, которые они делают каждый день и, которые многие захотят перенять.
Присоединяйтесь! Отличная возможность рассказать что-то рабочее и стать спикером оффзон.
Присоединяйтесь! Отличная возможность рассказать что-то рабочее и стать спикером оффзон.
🔥13
Forwarded from CyberED (CyberEd)
Станьте ведущим воркшопа CyberEd!
CyberEd – партнер OFFZONE, международной конференции по практической кибербезопасности. В рамках OFFZONE мы проводим серию воркшопов. Вы можете стать ведущим одного из них и поделиться своими знаниями и навыками.
Чтобы подать заявку, отправьте письмо в свободной форме почту m.lagutina@cyber-ed.ru для Марии Лагутиной, руководителя департамента организации мероприятий и работы с комьюнити CyberEd. В теме письма нужно указать - «Заявка на участие в серии воркшопов CyberEd». Прием заявок открыт до 16 июля.
Требования к заявке и воркшопу вы найдете на сайте CyberEd
Традиционно OFFZONE собирает специалистов по безопасности, разработчиков, инженеров, исследователей, преподавателей и студентов из десятков стран мира. Давайте строить будущее кибербезопасности вместе!
CyberEd – партнер OFFZONE, международной конференции по практической кибербезопасности. В рамках OFFZONE мы проводим серию воркшопов. Вы можете стать ведущим одного из них и поделиться своими знаниями и навыками.
Чтобы подать заявку, отправьте письмо в свободной форме почту m.lagutina@cyber-ed.ru для Марии Лагутиной, руководителя департамента организации мероприятий и работы с комьюнити CyberEd. В теме письма нужно указать - «Заявка на участие в серии воркшопов CyberEd». Прием заявок открыт до 16 июля.
Требования к заявке и воркшопу вы найдете на сайте CyberEd
Традиционно OFFZONE собирает специалистов по безопасности, разработчиков, инженеров, исследователей, преподавателей и студентов из десятков стран мира. Давайте строить будущее кибербезопасности вместе!
👍4🤯1
Forwarded from CyberED (CyberEd)
📣Осталось совсем немного времени, чтобы подать свою работу на Pentest Award. Мы решили разобраться со всеми вопросами, которые интересуют участников: про оформление работ, их оценку и прочие часто задаваемыми вопросы, летящие в организаторов.
17:00, 10 июля CISO Awillix Александр Герасимов и член жюри премии, CEO CyberEd & Singleton Security Егор Богомолов придут обсудить все, что вас интересует, по этой ссылке
17:00, 10 июля CISO Awillix Александр Герасимов и член жюри премии, CEO CyberEd & Singleton Security Егор Богомолов придут обсудить все, что вас интересует, по этой ссылке
👍2🔥1🎉1
CyberED
📣Осталось совсем немного времени, чтобы подать свою работу на Pentest Award. Мы решили разобраться со всеми вопросами, которые интересуют участников: про оформление работ, их оценку и прочие часто задаваемыми вопросы, летящие в организаторов. 17:00, 10…
Трехминутная готовность:
https://www.youtube.com/watch?v=S9LU1lEEhlc
P.S. Запись встречи по той же ссылочке. Приятного просмотра.
P.P.S. Сори за небольшие лаги звука.
https://www.youtube.com/watch?v=S9LU1lEEhlc
P.S. Запись встречи по той же ссылочке. Приятного просмотра.
P.P.S. Сори за небольшие лаги звука.
YouTube
Все про Pentest award
Перед дедлайном подачи работ решили выйти в прямой эфир, обсудить часто задаваемые вопросы про премию и поотвечать зрителям реал-тайм.
🔥7
Команда
Оказывается, не все из вас знают о том, что я руковожу одной из наиболее высококвалифицированных команд в сфере оказания услуг оценки защищенности в России.
Хотел бы исправить эту нелепую оплошность.😅
Представляю вам Singleton Security🤓 , команду в которой работают только талантливые профессионалы поиска багов и мастера придумать нестандартные способы обойти любую защиту.
Спустя три года, нас уже больше 20 человек и мы живем темой кибербезопасности не только во время работы, но и в свободное время.
Когда я в 2016-ом увлекся работой пентестера, я понял, что моя миссия: сформировать окружение интереснейших специалистов из этой отрасли, а также выращивать таланты на этой плодородной почве. И спустя время, я уверен, что я достиг поставленой цели. Мою команду наполняют самые ответственные, жадные до знаний и амбициозные эксперты.
Мы обладатели большинства известнейших профессиональных сертификатов от Burp Suite Certified Practitioner, CEH и OSCP до CISSP, CISM и OSEP.
Ежегодно основной состав нашей команды участвует в The Standoff и занимает призовые места в составе команды True0xA3 (ТруОАЗ).
Мы каждый год выступаем на крупнейших конференциях России: OFFZONE, PHDays, VolgaCTF и пр.
Вы также можете найти наших коллег в залах славы и на багбаунти платформах: Yandex Hall of Fame, HackerOne, BugCrowd, Google VRP, Intigrity, Immunefi.
В формат поста не вместится все, что я бы хотел перечислить, поэтому лучше всего о нас скажет наш “лендос”: https://singleton-security.ru/
И конечно же, если вам понадобится надежный партнер для помощи в Анализе защищенности, Тестировании на проникновение, Построении процессов безопасной разработки или других услугах из сферы информационной безопасности, вы знаете к кому обратиться. 😉
Цените свое окружение, влияйте на него, развивайтесь так, чтобы к вам присоединялись люди еще более интересные, чем вы сами! В нашей увлекательнейшей сфере это особенно приятно. Мы работаем только с умными людьми. Наши клиенты - самые ответственные за свое дело люди, наши конкуренты - самые заметные комании в индустрии. Ценю возможность жить и работать в такой развивающейся отрасли, пусть даже в непростое время.
Оказывается, не все из вас знают о том, что я руковожу одной из наиболее высококвалифицированных команд в сфере оказания услуг оценки защищенности в России.
Хотел бы исправить эту нелепую оплошность.
Представляю вам Singleton Security
Спустя три года, нас уже больше 20 человек и мы живем темой кибербезопасности не только во время работы, но и в свободное время.
Когда я в 2016-ом увлекся работой пентестера, я понял, что моя миссия: сформировать окружение интереснейших специалистов из этой отрасли, а также выращивать таланты на этой плодородной почве. И спустя время, я уверен, что я достиг поставленой цели. Мою команду наполняют самые ответственные, жадные до знаний и амбициозные эксперты.
Мы обладатели большинства известнейших профессиональных сертификатов от Burp Suite Certified Practitioner, CEH и OSCP до CISSP, CISM и OSEP.
Ежегодно основной состав нашей команды участвует в The Standoff и занимает призовые места в составе команды True0xA3 (ТруОАЗ).
Мы каждый год выступаем на крупнейших конференциях России: OFFZONE, PHDays, VolgaCTF и пр.
Вы также можете найти наших коллег в залах славы и на багбаунти платформах: Yandex Hall of Fame, HackerOne, BugCrowd, Google VRP, Intigrity, Immunefi.
В формат поста не вместится все, что я бы хотел перечислить, поэтому лучше всего о нас скажет наш “лендос”: https://singleton-security.ru/
И конечно же, если вам понадобится надежный партнер для помощи в Анализе защищенности, Тестировании на проникновение, Построении процессов безопасной разработки или других услугах из сферы информационной безопасности, вы знаете к кому обратиться. 😉
Цените свое окружение, влияйте на него, развивайтесь так, чтобы к вам присоединялись люди еще более интересные, чем вы сами! В нашей увлекательнейшей сфере это особенно приятно. Мы работаем только с умными людьми. Наши клиенты - самые ответственные за свое дело люди, наши конкуренты - самые заметные комании в индустрии. Ценю возможность жить и работать в такой развивающейся отрасли, пусть даже в непростое время.
Please open Telegram to view this post
VIEW IN TELEGRAM
singleton-security.ru
Singleton Security
Полный спектр услуг по оценке защищенности компаний от киберугроз
🔥40👍5👏1
Forwarded from RedTeam brazzers (Pavel Shlundin)
Коллеги, помните, на этом канале были эфиры-подкасты в формате «собеседования» по внутрякам? Многим такой формат активности нравился) Итак, по просьбе трудящихся - мы решили провести еще «собеседования»! Но в этот раз будем «пробываться» на позицию Web-пентестер! Экспертом выступит Егор Богомолов c канала YAH. Тема первой части - "Изучение приложения". Место встречи - здесь в конференции в субботу 15.07.2023 в 14:00 по мск. Всем удачи)
👍30
RedTeam brazzers
Коллеги, помните, на этом канале были эфиры-подкасты в формате «собеседования» по внутрякам? Многим такой формат активности нравился) Итак, по просьбе трудящихся - мы решили провести еще «собеседования»! Но в этот раз будем «пробываться» на позицию Web-пентестер!…
Начинаем в канале: https://news.1rj.ru/str/RedTeambro .
Telegram
RedTeamBrazzers Link
Ваш Проводник в увлекательный мир внутряка и системной проги :)
https://news.1rj.ru/str/+YM2-CpU71DVkMjli
https://news.1rj.ru/str/+YM2-CpU71DVkMjli
А вот и результаты.
Может немного задушнил, сорян. Но в таком формате был впервые, и возможно не сразу сориентировался. А как вам?
Может немного задушнил, сорян. Но в таком формате был впервые, и возможно не сразу сориентировался. А как вам?
Forwarded from RedTeam brazzers (Pavel Shlundin)
Вышло наше с Егором первое собеседование на позицию "Web пентестер". В этой части вы можете послушать про изучение web приложения. Как всегда выкладываю на Яндекс и spotify. Приятного прослушивания!
Конспект первого собеседования от Егора ниже:
Собираем информация о веб-приложениях.
1. Какая информация нам важна?
- Бизнес риски
- Роли пользователей и пользователи
- (Окружение) Веб-сервер, ОС, БД, WAF
- Язык разработки и фреймворк
- Методы и API
2. Говорим об Entrypoinst
Как ищем Route’ы приложения
Документация автодокументация (proxy2swagger / mimtproxy)
Дорки
Файлы
APK клиенты
Веб-архив
Бастниг
Как ищем параметры
Фазинг параметры
Google Dork
Web Archive
JS
Раскрытие параметров (Ответ сервера)
Исходный код
Какие пробуем Заголовки
Host
X-Forwarded-For:
X-Real-IP:
Origin:
Contetn-Type:
User-Agent:
Content-Length:
Transfer-Encoding
Cookie:
Refferer:
ACAO:
Authorization:
Какие пробуем методы
GET,POST,DELETE,PUT,PATCH,OPTIONS
DEBUG
TRACE
CONNECT
Какие пробуем форматы данных
Content-Type:
- multipart/form-data
- application/x-www-form-urlencoded
- application/xml
- application/json
- application/x-java-serialized-object
Входные точки в client-side
Cookie
Parametes GET
Headers
Location,
Ancor (#)
Какие типы API нам предстоит изучать:
- Rest API
- Swagger,
- Документация,
- ALPS,
- RAML
- JSON
- GraphQL API
- INTROSPECT
- JS
- Документашка
- Фаззинг
- SOAP API
- WSDL Schema
- RPC API
- WebSocket API
- GRPC
Какие сервер баги мы сможем заметить на этапе разведки
Nginx/Apache Specific
Cache Specific
Bypasses
Bad Proxy
Конспект первого собеседования от Егора ниже:
Собираем информация о веб-приложениях.
1. Какая информация нам важна?
- Бизнес риски
- Роли пользователей и пользователи
- (Окружение) Веб-сервер, ОС, БД, WAF
- Язык разработки и фреймворк
- Методы и API
2. Говорим об Entrypoinst
Как ищем Route’ы приложения
Документация автодокументация (proxy2swagger / mimtproxy)
Дорки
Файлы
APK клиенты
Веб-архив
Бастниг
Как ищем параметры
Фазинг параметры
Google Dork
Web Archive
JS
Раскрытие параметров (Ответ сервера)
Исходный код
Какие пробуем Заголовки
Host
X-Forwarded-For:
X-Real-IP:
Origin:
Contetn-Type:
User-Agent:
Content-Length:
Transfer-Encoding
Cookie:
Refferer:
ACAO:
Authorization:
Какие пробуем методы
GET,POST,DELETE,PUT,PATCH,OPTIONS
DEBUG
TRACE
CONNECT
Какие пробуем форматы данных
Content-Type:
- multipart/form-data
- application/x-www-form-urlencoded
- application/xml
- application/json
- application/x-java-serialized-object
Входные точки в client-side
Cookie
Parametes GET
Headers
Location,
Ancor (#)
Какие типы API нам предстоит изучать:
- Rest API
- Swagger,
- Документация,
- ALPS,
- RAML
- JSON
- GraphQL API
- INTROSPECT
- JS
- Документашка
- Фаззинг
- SOAP API
- WSDL Schema
- RPC API
- WebSocket API
- GRPC
Какие сервер баги мы сможем заметить на этапе разведки
Nginx/Apache Specific
Cache Specific
Bypasses
Bad Proxy
Yandex Music
Собеседование. Web-pentest. Эпизод 1
👍30
Подборка инфодайджеста от команды Singleton Security за июнь. Просто я был в отпуске
Собрали для вас самые интересные новости из разных категорий.
🪲 Bugs & Exploits
1. MOVEIt Transfer RCE (CVE-2023-34362) (Part 1)
2. MOVEIt Transfer RCE (CVE-2023-34362) (Part 2)
3. VMware VRealize Network Insight - Remote Code Execution CVE-2023-20887
4. GitLab 16.0.0 - Path Traversal
5. MSSQL tricks
6. EPP servers hack
🎧 Podcasts
7. AI + Pentest = ?
🛠 Tools
8. jsluice
9. surf
10. DetectDee
📑 Burp extensions & tricks
11. BChecks
12. Automation tricks for Burp Suite Pro
💰 Bug Bounty reports
13. Stored XSS via Kroki diagram ($$$)
14. Authentication bypass on gist.github.com through SSH Certificates ($$$)
15. Yandex 12.000.000₽ RCE ($$$$)
Собрали для вас самые интересные новости из разных категорий.
🪲 Bugs & Exploits
1. MOVEIt Transfer RCE (CVE-2023-34362) (Part 1)
2. MOVEIt Transfer RCE (CVE-2023-34362) (Part 2)
3. VMware VRealize Network Insight - Remote Code Execution CVE-2023-20887
4. GitLab 16.0.0 - Path Traversal
5. MSSQL tricks
6. EPP servers hack
🎧 Podcasts
7. AI + Pentest = ?
🛠 Tools
8. jsluice
9. surf
10. DetectDee
📑 Burp extensions & tricks
11. BChecks
12. Automation tricks for Burp Suite Pro
💰 Bug Bounty reports
13. Stored XSS via Kroki diagram ($$$)
14. Authentication bypass on gist.github.com through SSH Certificates ($$$)
15. Yandex 12.000.000₽ RCE ($$$$)
🔥18
Forwarded from CyberED (CyberEd)
Привет! Мы — Центр компетенций по кибербезопасности CyberEd: профессиональные треки, CTF и другие образовательные продукты для тех, кто хочет развиваться в профессиональной деятельности в пентесте / защите информационных систем или в безопасной разработке.
💎У нас сформировалось сообщество экспертов, технических писателей, методистов из ИБ и ИТ, которые:
- преподают вживую на наших курсах и треках, проводят турниры, создают киберполигоны, обучают друг друга и участвуют во внутренней жизни центра;
- разрабатывают для наших студентов практические задачи разных уровней сложности;
- формируют теоретический контент "без воды", во время изучения которого студенты учатся принимать решения в профессиональной деятельности и нестандартно мыслить при решении комбинированных задач, пробуют свои силы в рабочих контекстах, не предполагающих очевидных решений.
📢Мы продолжаем искать экспертов и технических писателей в наше сообщество.
Если тебе интересно:
- собирать методологию подходов и практик в ИБ и описывать её в виде курса / базы знаний,
- формализовывать вместе с другими экспертами свои собственные знания по отдельным компетенциям в сфере кибербезопасности,
- разрабатывать простые, сложные и комплексные задачи для форматов обучения / соревнований,
- преподавать, вести воркшопы / интенсивы, записывать видеолекции / подкасты,
- работать с продвинутой аудиторией учащихся, которые заставят отвечать на сложные вопросы и разбираться в самых тонких деталях технологий,
- создавать и организовывать CTF-турниры,
- участвовать в социальных и публичных проектах, предполагающих новые форматы взаимодействия с аудиторией,
- воплощать в жизнь любые другие свои идеи, связанные с образованием в кибербезопасности, —
напиши @alena_korn, мы вместе подберем удобный формат взаимодействия и подключим тебя к экспертному сообществу и активностям, которые разворачиваются в CyberEd👌
📎Как правило, мы работаем с экспертами в гибком режиме part-time. Все усилия и активности хорошо оплачиваются, а все идеи и улучшения — принимаются.
💎У нас сформировалось сообщество экспертов, технических писателей, методистов из ИБ и ИТ, которые:
- преподают вживую на наших курсах и треках, проводят турниры, создают киберполигоны, обучают друг друга и участвуют во внутренней жизни центра;
- разрабатывают для наших студентов практические задачи разных уровней сложности;
- формируют теоретический контент "без воды", во время изучения которого студенты учатся принимать решения в профессиональной деятельности и нестандартно мыслить при решении комбинированных задач, пробуют свои силы в рабочих контекстах, не предполагающих очевидных решений.
📢Мы продолжаем искать экспертов и технических писателей в наше сообщество.
Если тебе интересно:
- собирать методологию подходов и практик в ИБ и описывать её в виде курса / базы знаний,
- формализовывать вместе с другими экспертами свои собственные знания по отдельным компетенциям в сфере кибербезопасности,
- разрабатывать простые, сложные и комплексные задачи для форматов обучения / соревнований,
- преподавать, вести воркшопы / интенсивы, записывать видеолекции / подкасты,
- работать с продвинутой аудиторией учащихся, которые заставят отвечать на сложные вопросы и разбираться в самых тонких деталях технологий,
- создавать и организовывать CTF-турниры,
- участвовать в социальных и публичных проектах, предполагающих новые форматы взаимодействия с аудиторией,
- воплощать в жизнь любые другие свои идеи, связанные с образованием в кибербезопасности, —
напиши @alena_korn, мы вместе подберем удобный формат взаимодействия и подключим тебя к экспертному сообществу и активностям, которые разворачиваются в CyberEd👌
📎Как правило, мы работаем с экспертами в гибком режиме part-time. Все усилия и активности хорошо оплачиваются, а все идеи и улучшения — принимаются.
🔥9👍1
#infodigest
Собрали для вас самые интересные новости из разных категорий.
🪲 Bugs & Exploits
1. WordPress «WooCommerce Payments» plugin CVE-2023-28121
2. Why ORMs and Prepared Statements Can't (Always) Win
3. Exploiting XSS in hidden inputs and meta tags
4. Encrypted Doesn't Mean Authenticated: ShareFile RCE (CVE-2023-24489)
5. Exploiting Incorrectly Configured Load Balancer with XSS to Steal Cookies
6. Chaining our way to Pre-Auth RCE in Metabase (CVE-2023-38646)
7. Reversing Citrix Gateway for XSS
8. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 1)
9. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 2)
10. HTML Over the Wire
🛠 Tools
11. CVSS Advisor (Escalation Techniques)
12. shortscan
📑 Burp extensions & tricks
13. Improve your API Security Testing with Burp BCheck Scripts
14. The top 10 community-created BChecks
💰 Bug Bounty reports
15. Bug Writeup: Stored XSS to Account Takeover (ATO) via GraphQL API
16. Breaking TikTok: Our Journey to Finding an Account Takeover Vulnerability
Собрали для вас самые интересные новости из разных категорий.
🪲 Bugs & Exploits
1. WordPress «WooCommerce Payments» plugin CVE-2023-28121
2. Why ORMs and Prepared Statements Can't (Always) Win
3. Exploiting XSS in hidden inputs and meta tags
4. Encrypted Doesn't Mean Authenticated: ShareFile RCE (CVE-2023-24489)
5. Exploiting Incorrectly Configured Load Balancer with XSS to Steal Cookies
6. Chaining our way to Pre-Auth RCE in Metabase (CVE-2023-38646)
7. Reversing Citrix Gateway for XSS
8. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 1)
9. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 2)
10. HTML Over the Wire
🛠 Tools
11. CVSS Advisor (Escalation Techniques)
12. shortscan
📑 Burp extensions & tricks
13. Improve your API Security Testing with Burp BCheck Scripts
14. The top 10 community-created BChecks
💰 Bug Bounty reports
15. Bug Writeup: Stored XSS to Account Takeover (ATO) via GraphQL API
16. Breaking TikTok: Our Journey to Finding an Account Takeover Vulnerability
🔥15👍1👏1🎉1
Наконец-то лабы и для синих команд. В сети вообще не много таких открытых практических тернажеров для синих. Знаете какие-то еще хорошие ресурсы с практикой для BlueTeam?