Команда
Оказывается, не все из вас знают о том, что я руковожу одной из наиболее высококвалифицированных команд в сфере оказания услуг оценки защищенности в России.
Хотел бы исправить эту нелепую оплошность.😅
Представляю вам Singleton Security🤓 , команду в которой работают только талантливые профессионалы поиска багов и мастера придумать нестандартные способы обойти любую защиту.
Спустя три года, нас уже больше 20 человек и мы живем темой кибербезопасности не только во время работы, но и в свободное время.
Когда я в 2016-ом увлекся работой пентестера, я понял, что моя миссия: сформировать окружение интереснейших специалистов из этой отрасли, а также выращивать таланты на этой плодородной почве. И спустя время, я уверен, что я достиг поставленой цели. Мою команду наполняют самые ответственные, жадные до знаний и амбициозные эксперты.
Мы обладатели большинства известнейших профессиональных сертификатов от Burp Suite Certified Practitioner, CEH и OSCP до CISSP, CISM и OSEP.
Ежегодно основной состав нашей команды участвует в The Standoff и занимает призовые места в составе команды True0xA3 (ТруОАЗ).
Мы каждый год выступаем на крупнейших конференциях России: OFFZONE, PHDays, VolgaCTF и пр.
Вы также можете найти наших коллег в залах славы и на багбаунти платформах: Yandex Hall of Fame, HackerOne, BugCrowd, Google VRP, Intigrity, Immunefi.
В формат поста не вместится все, что я бы хотел перечислить, поэтому лучше всего о нас скажет наш “лендос”: https://singleton-security.ru/
И конечно же, если вам понадобится надежный партнер для помощи в Анализе защищенности, Тестировании на проникновение, Построении процессов безопасной разработки или других услугах из сферы информационной безопасности, вы знаете к кому обратиться. 😉
Цените свое окружение, влияйте на него, развивайтесь так, чтобы к вам присоединялись люди еще более интересные, чем вы сами! В нашей увлекательнейшей сфере это особенно приятно. Мы работаем только с умными людьми. Наши клиенты - самые ответственные за свое дело люди, наши конкуренты - самые заметные комании в индустрии. Ценю возможность жить и работать в такой развивающейся отрасли, пусть даже в непростое время.
Оказывается, не все из вас знают о том, что я руковожу одной из наиболее высококвалифицированных команд в сфере оказания услуг оценки защищенности в России.
Хотел бы исправить эту нелепую оплошность.
Представляю вам Singleton Security
Спустя три года, нас уже больше 20 человек и мы живем темой кибербезопасности не только во время работы, но и в свободное время.
Когда я в 2016-ом увлекся работой пентестера, я понял, что моя миссия: сформировать окружение интереснейших специалистов из этой отрасли, а также выращивать таланты на этой плодородной почве. И спустя время, я уверен, что я достиг поставленой цели. Мою команду наполняют самые ответственные, жадные до знаний и амбициозные эксперты.
Мы обладатели большинства известнейших профессиональных сертификатов от Burp Suite Certified Practitioner, CEH и OSCP до CISSP, CISM и OSEP.
Ежегодно основной состав нашей команды участвует в The Standoff и занимает призовые места в составе команды True0xA3 (ТруОАЗ).
Мы каждый год выступаем на крупнейших конференциях России: OFFZONE, PHDays, VolgaCTF и пр.
Вы также можете найти наших коллег в залах славы и на багбаунти платформах: Yandex Hall of Fame, HackerOne, BugCrowd, Google VRP, Intigrity, Immunefi.
В формат поста не вместится все, что я бы хотел перечислить, поэтому лучше всего о нас скажет наш “лендос”: https://singleton-security.ru/
И конечно же, если вам понадобится надежный партнер для помощи в Анализе защищенности, Тестировании на проникновение, Построении процессов безопасной разработки или других услугах из сферы информационной безопасности, вы знаете к кому обратиться. 😉
Цените свое окружение, влияйте на него, развивайтесь так, чтобы к вам присоединялись люди еще более интересные, чем вы сами! В нашей увлекательнейшей сфере это особенно приятно. Мы работаем только с умными людьми. Наши клиенты - самые ответственные за свое дело люди, наши конкуренты - самые заметные комании в индустрии. Ценю возможность жить и работать в такой развивающейся отрасли, пусть даже в непростое время.
Please open Telegram to view this post
VIEW IN TELEGRAM
singleton-security.ru
Singleton Security
Полный спектр услуг по оценке защищенности компаний от киберугроз
🔥40👍5👏1
Forwarded from RedTeam brazzers (Pavel Shlundin)
Коллеги, помните, на этом канале были эфиры-подкасты в формате «собеседования» по внутрякам? Многим такой формат активности нравился) Итак, по просьбе трудящихся - мы решили провести еще «собеседования»! Но в этот раз будем «пробываться» на позицию Web-пентестер! Экспертом выступит Егор Богомолов c канала YAH. Тема первой части - "Изучение приложения". Место встречи - здесь в конференции в субботу 15.07.2023 в 14:00 по мск. Всем удачи)
👍30
RedTeam brazzers
Коллеги, помните, на этом канале были эфиры-подкасты в формате «собеседования» по внутрякам? Многим такой формат активности нравился) Итак, по просьбе трудящихся - мы решили провести еще «собеседования»! Но в этот раз будем «пробываться» на позицию Web-пентестер!…
Начинаем в канале: https://news.1rj.ru/str/RedTeambro .
Telegram
RedTeamBrazzers Link
Ваш Проводник в увлекательный мир внутряка и системной проги :)
https://news.1rj.ru/str/+YM2-CpU71DVkMjli
https://news.1rj.ru/str/+YM2-CpU71DVkMjli
А вот и результаты.
Может немного задушнил, сорян. Но в таком формате был впервые, и возможно не сразу сориентировался. А как вам?
Может немного задушнил, сорян. Но в таком формате был впервые, и возможно не сразу сориентировался. А как вам?
Forwarded from RedTeam brazzers (Pavel Shlundin)
Вышло наше с Егором первое собеседование на позицию "Web пентестер". В этой части вы можете послушать про изучение web приложения. Как всегда выкладываю на Яндекс и spotify. Приятного прослушивания!
Конспект первого собеседования от Егора ниже:
Собираем информация о веб-приложениях.
1. Какая информация нам важна?
- Бизнес риски
- Роли пользователей и пользователи
- (Окружение) Веб-сервер, ОС, БД, WAF
- Язык разработки и фреймворк
- Методы и API
2. Говорим об Entrypoinst
Как ищем Route’ы приложения
Документация автодокументация (proxy2swagger / mimtproxy)
Дорки
Файлы
APK клиенты
Веб-архив
Бастниг
Как ищем параметры
Фазинг параметры
Google Dork
Web Archive
JS
Раскрытие параметров (Ответ сервера)
Исходный код
Какие пробуем Заголовки
Host
X-Forwarded-For:
X-Real-IP:
Origin:
Contetn-Type:
User-Agent:
Content-Length:
Transfer-Encoding
Cookie:
Refferer:
ACAO:
Authorization:
Какие пробуем методы
GET,POST,DELETE,PUT,PATCH,OPTIONS
DEBUG
TRACE
CONNECT
Какие пробуем форматы данных
Content-Type:
- multipart/form-data
- application/x-www-form-urlencoded
- application/xml
- application/json
- application/x-java-serialized-object
Входные точки в client-side
Cookie
Parametes GET
Headers
Location,
Ancor (#)
Какие типы API нам предстоит изучать:
- Rest API
- Swagger,
- Документация,
- ALPS,
- RAML
- JSON
- GraphQL API
- INTROSPECT
- JS
- Документашка
- Фаззинг
- SOAP API
- WSDL Schema
- RPC API
- WebSocket API
- GRPC
Какие сервер баги мы сможем заметить на этапе разведки
Nginx/Apache Specific
Cache Specific
Bypasses
Bad Proxy
Конспект первого собеседования от Егора ниже:
Собираем информация о веб-приложениях.
1. Какая информация нам важна?
- Бизнес риски
- Роли пользователей и пользователи
- (Окружение) Веб-сервер, ОС, БД, WAF
- Язык разработки и фреймворк
- Методы и API
2. Говорим об Entrypoinst
Как ищем Route’ы приложения
Документация автодокументация (proxy2swagger / mimtproxy)
Дорки
Файлы
APK клиенты
Веб-архив
Бастниг
Как ищем параметры
Фазинг параметры
Google Dork
Web Archive
JS
Раскрытие параметров (Ответ сервера)
Исходный код
Какие пробуем Заголовки
Host
X-Forwarded-For:
X-Real-IP:
Origin:
Contetn-Type:
User-Agent:
Content-Length:
Transfer-Encoding
Cookie:
Refferer:
ACAO:
Authorization:
Какие пробуем методы
GET,POST,DELETE,PUT,PATCH,OPTIONS
DEBUG
TRACE
CONNECT
Какие пробуем форматы данных
Content-Type:
- multipart/form-data
- application/x-www-form-urlencoded
- application/xml
- application/json
- application/x-java-serialized-object
Входные точки в client-side
Cookie
Parametes GET
Headers
Location,
Ancor (#)
Какие типы API нам предстоит изучать:
- Rest API
- Swagger,
- Документация,
- ALPS,
- RAML
- JSON
- GraphQL API
- INTROSPECT
- JS
- Документашка
- Фаззинг
- SOAP API
- WSDL Schema
- RPC API
- WebSocket API
- GRPC
Какие сервер баги мы сможем заметить на этапе разведки
Nginx/Apache Specific
Cache Specific
Bypasses
Bad Proxy
Yandex Music
Собеседование. Web-pentest. Эпизод 1
👍30
Подборка инфодайджеста от команды Singleton Security за июнь. Просто я был в отпуске
Собрали для вас самые интересные новости из разных категорий.
🪲 Bugs & Exploits
1. MOVEIt Transfer RCE (CVE-2023-34362) (Part 1)
2. MOVEIt Transfer RCE (CVE-2023-34362) (Part 2)
3. VMware VRealize Network Insight - Remote Code Execution CVE-2023-20887
4. GitLab 16.0.0 - Path Traversal
5. MSSQL tricks
6. EPP servers hack
🎧 Podcasts
7. AI + Pentest = ?
🛠 Tools
8. jsluice
9. surf
10. DetectDee
📑 Burp extensions & tricks
11. BChecks
12. Automation tricks for Burp Suite Pro
💰 Bug Bounty reports
13. Stored XSS via Kroki diagram ($$$)
14. Authentication bypass on gist.github.com through SSH Certificates ($$$)
15. Yandex 12.000.000₽ RCE ($$$$)
Собрали для вас самые интересные новости из разных категорий.
🪲 Bugs & Exploits
1. MOVEIt Transfer RCE (CVE-2023-34362) (Part 1)
2. MOVEIt Transfer RCE (CVE-2023-34362) (Part 2)
3. VMware VRealize Network Insight - Remote Code Execution CVE-2023-20887
4. GitLab 16.0.0 - Path Traversal
5. MSSQL tricks
6. EPP servers hack
🎧 Podcasts
7. AI + Pentest = ?
🛠 Tools
8. jsluice
9. surf
10. DetectDee
📑 Burp extensions & tricks
11. BChecks
12. Automation tricks for Burp Suite Pro
💰 Bug Bounty reports
13. Stored XSS via Kroki diagram ($$$)
14. Authentication bypass on gist.github.com through SSH Certificates ($$$)
15. Yandex 12.000.000₽ RCE ($$$$)
🔥18
Forwarded from CyberED (CyberEd)
Привет! Мы — Центр компетенций по кибербезопасности CyberEd: профессиональные треки, CTF и другие образовательные продукты для тех, кто хочет развиваться в профессиональной деятельности в пентесте / защите информационных систем или в безопасной разработке.
💎У нас сформировалось сообщество экспертов, технических писателей, методистов из ИБ и ИТ, которые:
- преподают вживую на наших курсах и треках, проводят турниры, создают киберполигоны, обучают друг друга и участвуют во внутренней жизни центра;
- разрабатывают для наших студентов практические задачи разных уровней сложности;
- формируют теоретический контент "без воды", во время изучения которого студенты учатся принимать решения в профессиональной деятельности и нестандартно мыслить при решении комбинированных задач, пробуют свои силы в рабочих контекстах, не предполагающих очевидных решений.
📢Мы продолжаем искать экспертов и технических писателей в наше сообщество.
Если тебе интересно:
- собирать методологию подходов и практик в ИБ и описывать её в виде курса / базы знаний,
- формализовывать вместе с другими экспертами свои собственные знания по отдельным компетенциям в сфере кибербезопасности,
- разрабатывать простые, сложные и комплексные задачи для форматов обучения / соревнований,
- преподавать, вести воркшопы / интенсивы, записывать видеолекции / подкасты,
- работать с продвинутой аудиторией учащихся, которые заставят отвечать на сложные вопросы и разбираться в самых тонких деталях технологий,
- создавать и организовывать CTF-турниры,
- участвовать в социальных и публичных проектах, предполагающих новые форматы взаимодействия с аудиторией,
- воплощать в жизнь любые другие свои идеи, связанные с образованием в кибербезопасности, —
напиши @alena_korn, мы вместе подберем удобный формат взаимодействия и подключим тебя к экспертному сообществу и активностям, которые разворачиваются в CyberEd👌
📎Как правило, мы работаем с экспертами в гибком режиме part-time. Все усилия и активности хорошо оплачиваются, а все идеи и улучшения — принимаются.
💎У нас сформировалось сообщество экспертов, технических писателей, методистов из ИБ и ИТ, которые:
- преподают вживую на наших курсах и треках, проводят турниры, создают киберполигоны, обучают друг друга и участвуют во внутренней жизни центра;
- разрабатывают для наших студентов практические задачи разных уровней сложности;
- формируют теоретический контент "без воды", во время изучения которого студенты учатся принимать решения в профессиональной деятельности и нестандартно мыслить при решении комбинированных задач, пробуют свои силы в рабочих контекстах, не предполагающих очевидных решений.
📢Мы продолжаем искать экспертов и технических писателей в наше сообщество.
Если тебе интересно:
- собирать методологию подходов и практик в ИБ и описывать её в виде курса / базы знаний,
- формализовывать вместе с другими экспертами свои собственные знания по отдельным компетенциям в сфере кибербезопасности,
- разрабатывать простые, сложные и комплексные задачи для форматов обучения / соревнований,
- преподавать, вести воркшопы / интенсивы, записывать видеолекции / подкасты,
- работать с продвинутой аудиторией учащихся, которые заставят отвечать на сложные вопросы и разбираться в самых тонких деталях технологий,
- создавать и организовывать CTF-турниры,
- участвовать в социальных и публичных проектах, предполагающих новые форматы взаимодействия с аудиторией,
- воплощать в жизнь любые другие свои идеи, связанные с образованием в кибербезопасности, —
напиши @alena_korn, мы вместе подберем удобный формат взаимодействия и подключим тебя к экспертному сообществу и активностям, которые разворачиваются в CyberEd👌
📎Как правило, мы работаем с экспертами в гибком режиме part-time. Все усилия и активности хорошо оплачиваются, а все идеи и улучшения — принимаются.
🔥9👍1
#infodigest
Собрали для вас самые интересные новости из разных категорий.
🪲 Bugs & Exploits
1. WordPress «WooCommerce Payments» plugin CVE-2023-28121
2. Why ORMs and Prepared Statements Can't (Always) Win
3. Exploiting XSS in hidden inputs and meta tags
4. Encrypted Doesn't Mean Authenticated: ShareFile RCE (CVE-2023-24489)
5. Exploiting Incorrectly Configured Load Balancer with XSS to Steal Cookies
6. Chaining our way to Pre-Auth RCE in Metabase (CVE-2023-38646)
7. Reversing Citrix Gateway for XSS
8. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 1)
9. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 2)
10. HTML Over the Wire
🛠 Tools
11. CVSS Advisor (Escalation Techniques)
12. shortscan
📑 Burp extensions & tricks
13. Improve your API Security Testing with Burp BCheck Scripts
14. The top 10 community-created BChecks
💰 Bug Bounty reports
15. Bug Writeup: Stored XSS to Account Takeover (ATO) via GraphQL API
16. Breaking TikTok: Our Journey to Finding an Account Takeover Vulnerability
Собрали для вас самые интересные новости из разных категорий.
🪲 Bugs & Exploits
1. WordPress «WooCommerce Payments» plugin CVE-2023-28121
2. Why ORMs and Prepared Statements Can't (Always) Win
3. Exploiting XSS in hidden inputs and meta tags
4. Encrypted Doesn't Mean Authenticated: ShareFile RCE (CVE-2023-24489)
5. Exploiting Incorrectly Configured Load Balancer with XSS to Steal Cookies
6. Chaining our way to Pre-Auth RCE in Metabase (CVE-2023-38646)
7. Reversing Citrix Gateway for XSS
8. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 1)
9. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 2)
10. HTML Over the Wire
🛠 Tools
11. CVSS Advisor (Escalation Techniques)
12. shortscan
📑 Burp extensions & tricks
13. Improve your API Security Testing with Burp BCheck Scripts
14. The top 10 community-created BChecks
💰 Bug Bounty reports
15. Bug Writeup: Stored XSS to Account Takeover (ATO) via GraphQL API
16. Breaking TikTok: Our Journey to Finding an Account Takeover Vulnerability
🔥15👍1👏1🎉1
Наконец-то лабы и для синих команд. В сети вообще не много таких открытых практических тернажеров для синих. Знаете какие-то еще хорошие ресурсы с практикой для BlueTeam?
Forwarded from Standoff 365
Тогда прямо сейчас ждем вас на обновленном киберполигоне, с сегодняшнего дня доступном и для синих команд. Да, это почти как кибербитва Standoff, которая теперь никогда не заканчивается.
С 1 по 3 августа команды защитников будут мониторить и расследовать действия атакующих на инфраструктуре Standoff 365. Может быть, именно ваш инцидент станет для них самым сложным и интересным?
Будем делиться итогами противостояния в канале.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10
Forwarded from OFFZONE
Рассмотрим особенности безопасности компонентов CI/CD и пайплайнов, взлом которых часто остается за рамками классических пентестов.
Для участия потребуются базовые знания GitLab CI, Kubernetes и Docker.
Тренер: Павел Сорокин, ведущий инженер по ИБ, Ozon.
Когда: 25 августа, с 10:00 до 12:00.
Кому будет интересно: пентестерам и специалистам по безопасности с небольшим опытом атак на компоненты CI/CD.
Как участвовать: купите билет на OFFZONE и оплатите воркшоп.
Подробности уже на сайте.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥1
Вышел новый ежегодный отчет от hackerone о «хакерах». Точнее о белых хакерах, которые работают с площадкой. Об их интересах, предпочтениях, подходах.
Мне кажется, это может быть очень интересным для начинающих баунтеров и даже для любителей, т.к. можно посмотреть на наиболее обнаруживаемые уязвимости, используемые техники, предпочтительные скоупы, облюбованные технологии и выбрать как наиболее популярные подходы для достижения успеха, так и наименее популярные области, чтобы зайти в низкоконкурентные сферы.
Мне кажется, это может быть очень интересным для начинающих баунтеров и даже для любителей, т.к. можно посмотреть на наиболее обнаруживаемые уязвимости, используемые техники, предпочтительные скоупы, облюбованные технологии и выбрать как наиболее популярные подходы для достижения успеха, так и наименее популярные области, чтобы зайти в низкоконкурентные сферы.
🔥8🎉1
Пара слайдов, показавшихся интересным. Можно присмотреться в наиболее популярные уязвимости, которые статистически проще будет искать.
Можно также выбрать технологии, которые меньше всего смотрят другие хакеры.
Ну и напоследок, посмотреть на то, что мотивирует сообщество в целом.
Можно также выбрать технологии, которые меньше всего смотрят другие хакеры.
Ну и напоследок, посмотреть на то, что мотивирует сообщество в целом.
👍17🔥3
Привет! 👋 Центр экспертизы по кибербезопасности CyberEd продолжает поиск новых экспертов и технических писателей в свою команду.
💎 CyberEd более 5 лет создает курсы, профессиональные треки и CTF-игры как для тех, кто только начинает карьеру в кибербезопасности, так и для опытных пентестеров, специалистов по защите и безопасной разработке.
Недавний пост о поиске экспертов собрал мощный отклик, но мы не хотим останавливаться на достигнутом 🤝 Остались только две незакрытые вакансии, о которых мы спешим вам рассказать:
😎 В проект по построению киберполигона для B2B-клиентов дополнительно требуется специалист по FreeIPA. Если ты обладаешь следующими навыками:
- есть опыт в развёртывании домена на базе FreeIPA (Astra Linux) и внедрении Linux-машин в домен,
- знаешь и умеешь создавать уязвимости FreeIPA для задач,
- готов разрабатывать задачи разного уровня сложности и с нами продумывать систему оценивания для участников киберполигона,
то мы будем рады сотрудничеству с именно с тобой!
😎 Также мы ищем эксперта по анализу защищённости веб-приложений. Если у тебя есть следующие компетенции:
- опыт работы в этой области от 2-х лет в компании на позиции пентестера, АппСек инженера, специалиста по анализу защищенности,
- умеешь анализировать, писать или дорабатывать код для языков и соответствующих популярных фреймворков на Java/PHP/Python/C#,
- опыт выступлений или обучений,
- успешный опыт участия в программах БагБаунти,
то мы с нетерпением ждем тебя в нашей экспертной команде!
Если тебе откликаются эти задачи, есть необходимые навыки и опыт — напиши @i_rina_shirshova, обсудим детали и условия👌
📎 Напоминаем, что мы работаем с нашим сообществом в режиме проектной работы, part-time. Все усилия и активности оплачиваются.
💎 CyberEd более 5 лет создает курсы, профессиональные треки и CTF-игры как для тех, кто только начинает карьеру в кибербезопасности, так и для опытных пентестеров, специалистов по защите и безопасной разработке.
Недавний пост о поиске экспертов собрал мощный отклик, но мы не хотим останавливаться на достигнутом 🤝 Остались только две незакрытые вакансии, о которых мы спешим вам рассказать:
😎 В проект по построению киберполигона для B2B-клиентов дополнительно требуется специалист по FreeIPA. Если ты обладаешь следующими навыками:
- есть опыт в развёртывании домена на базе FreeIPA (Astra Linux) и внедрении Linux-машин в домен,
- знаешь и умеешь создавать уязвимости FreeIPA для задач,
- готов разрабатывать задачи разного уровня сложности и с нами продумывать систему оценивания для участников киберполигона,
то мы будем рады сотрудничеству с именно с тобой!
😎 Также мы ищем эксперта по анализу защищённости веб-приложений. Если у тебя есть следующие компетенции:
- опыт работы в этой области от 2-х лет в компании на позиции пентестера, АппСек инженера, специалиста по анализу защищенности,
- умеешь анализировать, писать или дорабатывать код для языков и соответствующих популярных фреймворков на Java/PHP/Python/C#,
- опыт выступлений или обучений,
- успешный опыт участия в программах БагБаунти,
то мы с нетерпением ждем тебя в нашей экспертной команде!
Если тебе откликаются эти задачи, есть необходимые навыки и опыт — напиши @i_rina_shirshova, обсудим детали и условия👌
📎 Напоминаем, что мы работаем с нашим сообществом в режиме проектной работы, part-time. Все усилия и активности оплачиваются.
CyberED
Главная
Курсы по кибербезопасности. Обучаем и повышаем профессиональный уровень ИБ специалистов. Знания, которые можно применить на практике!
👍4