#infodigest
Собрали для вас самые интересные новости из разных категорий.
🪲 Bugs & Exploits
1. WordPress «WooCommerce Payments» plugin CVE-2023-28121
2. Why ORMs and Prepared Statements Can't (Always) Win
3. Exploiting XSS in hidden inputs and meta tags
4. Encrypted Doesn't Mean Authenticated: ShareFile RCE (CVE-2023-24489)
5. Exploiting Incorrectly Configured Load Balancer with XSS to Steal Cookies
6. Chaining our way to Pre-Auth RCE in Metabase (CVE-2023-38646)
7. Reversing Citrix Gateway for XSS
8. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 1)
9. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 2)
10. HTML Over the Wire
🛠 Tools
11. CVSS Advisor (Escalation Techniques)
12. shortscan
📑 Burp extensions & tricks
13. Improve your API Security Testing with Burp BCheck Scripts
14. The top 10 community-created BChecks
💰 Bug Bounty reports
15. Bug Writeup: Stored XSS to Account Takeover (ATO) via GraphQL API
16. Breaking TikTok: Our Journey to Finding an Account Takeover Vulnerability
Собрали для вас самые интересные новости из разных категорий.
🪲 Bugs & Exploits
1. WordPress «WooCommerce Payments» plugin CVE-2023-28121
2. Why ORMs and Prepared Statements Can't (Always) Win
3. Exploiting XSS in hidden inputs and meta tags
4. Encrypted Doesn't Mean Authenticated: ShareFile RCE (CVE-2023-24489)
5. Exploiting Incorrectly Configured Load Balancer with XSS to Steal Cookies
6. Chaining our way to Pre-Auth RCE in Metabase (CVE-2023-38646)
7. Reversing Citrix Gateway for XSS
8. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 1)
9. Analysis of CVE-2023-3519 in Citrix ADC and NetScaler Gateway (Part 2)
10. HTML Over the Wire
🛠 Tools
11. CVSS Advisor (Escalation Techniques)
12. shortscan
📑 Burp extensions & tricks
13. Improve your API Security Testing with Burp BCheck Scripts
14. The top 10 community-created BChecks
💰 Bug Bounty reports
15. Bug Writeup: Stored XSS to Account Takeover (ATO) via GraphQL API
16. Breaking TikTok: Our Journey to Finding an Account Takeover Vulnerability
🔥15👍1👏1🎉1
Наконец-то лабы и для синих команд. В сети вообще не много таких открытых практических тернажеров для синих. Знаете какие-то еще хорошие ресурсы с практикой для BlueTeam?
Forwarded from Standoff 365
Тогда прямо сейчас ждем вас на обновленном киберполигоне, с сегодняшнего дня доступном и для синих команд. Да, это почти как кибербитва Standoff, которая теперь никогда не заканчивается.
С 1 по 3 августа команды защитников будут мониторить и расследовать действия атакующих на инфраструктуре Standoff 365. Может быть, именно ваш инцидент станет для них самым сложным и интересным?
Будем делиться итогами противостояния в канале.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10
Forwarded from OFFZONE
Рассмотрим особенности безопасности компонентов CI/CD и пайплайнов, взлом которых часто остается за рамками классических пентестов.
Для участия потребуются базовые знания GitLab CI, Kubernetes и Docker.
Тренер: Павел Сорокин, ведущий инженер по ИБ, Ozon.
Когда: 25 августа, с 10:00 до 12:00.
Кому будет интересно: пентестерам и специалистам по безопасности с небольшим опытом атак на компоненты CI/CD.
Как участвовать: купите билет на OFFZONE и оплатите воркшоп.
Подробности уже на сайте.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🔥1
Вышел новый ежегодный отчет от hackerone о «хакерах». Точнее о белых хакерах, которые работают с площадкой. Об их интересах, предпочтениях, подходах.
Мне кажется, это может быть очень интересным для начинающих баунтеров и даже для любителей, т.к. можно посмотреть на наиболее обнаруживаемые уязвимости, используемые техники, предпочтительные скоупы, облюбованные технологии и выбрать как наиболее популярные подходы для достижения успеха, так и наименее популярные области, чтобы зайти в низкоконкурентные сферы.
Мне кажется, это может быть очень интересным для начинающих баунтеров и даже для любителей, т.к. можно посмотреть на наиболее обнаруживаемые уязвимости, используемые техники, предпочтительные скоупы, облюбованные технологии и выбрать как наиболее популярные подходы для достижения успеха, так и наименее популярные области, чтобы зайти в низкоконкурентные сферы.
🔥8🎉1
Пара слайдов, показавшихся интересным. Можно присмотреться в наиболее популярные уязвимости, которые статистически проще будет искать.
Можно также выбрать технологии, которые меньше всего смотрят другие хакеры.
Ну и напоследок, посмотреть на то, что мотивирует сообщество в целом.
Можно также выбрать технологии, которые меньше всего смотрят другие хакеры.
Ну и напоследок, посмотреть на то, что мотивирует сообщество в целом.
👍17🔥3
Привет! 👋 Центр экспертизы по кибербезопасности CyberEd продолжает поиск новых экспертов и технических писателей в свою команду.
💎 CyberEd более 5 лет создает курсы, профессиональные треки и CTF-игры как для тех, кто только начинает карьеру в кибербезопасности, так и для опытных пентестеров, специалистов по защите и безопасной разработке.
Недавний пост о поиске экспертов собрал мощный отклик, но мы не хотим останавливаться на достигнутом 🤝 Остались только две незакрытые вакансии, о которых мы спешим вам рассказать:
😎 В проект по построению киберполигона для B2B-клиентов дополнительно требуется специалист по FreeIPA. Если ты обладаешь следующими навыками:
- есть опыт в развёртывании домена на базе FreeIPA (Astra Linux) и внедрении Linux-машин в домен,
- знаешь и умеешь создавать уязвимости FreeIPA для задач,
- готов разрабатывать задачи разного уровня сложности и с нами продумывать систему оценивания для участников киберполигона,
то мы будем рады сотрудничеству с именно с тобой!
😎 Также мы ищем эксперта по анализу защищённости веб-приложений. Если у тебя есть следующие компетенции:
- опыт работы в этой области от 2-х лет в компании на позиции пентестера, АппСек инженера, специалиста по анализу защищенности,
- умеешь анализировать, писать или дорабатывать код для языков и соответствующих популярных фреймворков на Java/PHP/Python/C#,
- опыт выступлений или обучений,
- успешный опыт участия в программах БагБаунти,
то мы с нетерпением ждем тебя в нашей экспертной команде!
Если тебе откликаются эти задачи, есть необходимые навыки и опыт — напиши @i_rina_shirshova, обсудим детали и условия👌
📎 Напоминаем, что мы работаем с нашим сообществом в режиме проектной работы, part-time. Все усилия и активности оплачиваются.
💎 CyberEd более 5 лет создает курсы, профессиональные треки и CTF-игры как для тех, кто только начинает карьеру в кибербезопасности, так и для опытных пентестеров, специалистов по защите и безопасной разработке.
Недавний пост о поиске экспертов собрал мощный отклик, но мы не хотим останавливаться на достигнутом 🤝 Остались только две незакрытые вакансии, о которых мы спешим вам рассказать:
😎 В проект по построению киберполигона для B2B-клиентов дополнительно требуется специалист по FreeIPA. Если ты обладаешь следующими навыками:
- есть опыт в развёртывании домена на базе FreeIPA (Astra Linux) и внедрении Linux-машин в домен,
- знаешь и умеешь создавать уязвимости FreeIPA для задач,
- готов разрабатывать задачи разного уровня сложности и с нами продумывать систему оценивания для участников киберполигона,
то мы будем рады сотрудничеству с именно с тобой!
😎 Также мы ищем эксперта по анализу защищённости веб-приложений. Если у тебя есть следующие компетенции:
- опыт работы в этой области от 2-х лет в компании на позиции пентестера, АппСек инженера, специалиста по анализу защищенности,
- умеешь анализировать, писать или дорабатывать код для языков и соответствующих популярных фреймворков на Java/PHP/Python/C#,
- опыт выступлений или обучений,
- успешный опыт участия в программах БагБаунти,
то мы с нетерпением ждем тебя в нашей экспертной команде!
Если тебе откликаются эти задачи, есть необходимые навыки и опыт — напиши @i_rina_shirshova, обсудим детали и условия👌
📎 Напоминаем, что мы работаем с нашим сообществом в режиме проектной работы, part-time. Все усилия и активности оплачиваются.
CyberED
Главная
Курсы по кибербезопасности. Обучаем и повышаем профессиональный уровень ИБ специалистов. Знания, которые можно применить на практике!
👍4
Forwarded from CyberED (CyberEd)
Друзья, накануне старта OFFZONE 2023 хотим поделиться с вами недавним интервью для Cyber Media, которое дал изданию Егор Богомолов – ведущий эксперт-практик в наступательной кибербезопасности, управляющий директор и преподаватель образовательных программ CyberEd.
Егор рассказал, почему считает хакинг творческой профессией, откуда появилась профессия «Белый хакер», как эффективно учиться и учить пентесту, и еще много того, что будет интересно начинающим специалистам и тем, кто только задумывается о карьере в кибербезопасности.
Егор рассказал, почему считает хакинг творческой профессией, откуда появилась профессия «Белый хакер», как эффективно учиться и учить пентесту, и еще много того, что будет интересно начинающим специалистам и тем, кто только задумывается о карьере в кибербезопасности.
securitymedia.org
Интервью, документы и продукты по информационной безопасности
В России активно запускаются программы обучения белых хакеров. Можно ли освоить такую специальность на курсах? Мнением с Cyber Media поделился Егор Богомолов, генеральный директор Singleton Security и управляющий директор CyberEd. Cyber Media: В какой момент…
👍12🔥6
Вакансия в нашу команду
Аналитик отдела аудита ИБ
Компания:
ООО “Синглтон Секьюрити” (singleton-security.ru)
Контактное лицо: @I_rina_shirshova (Присылайте резюме)
Задача: Работа с командой отдела аудита ИБ (группами по тестированию на проникновение / анализу защищенности)
Обязанности:
- Работа с результатами и отчетностью по проектам компании
- Анализ выявленных уязвимостей и формирование описания проблем безопасности под проект.
- Работа с аналитическими выводами по результатам работ.
- Подготовка аналитического заключения по результатам оказания услуг тестирования на проникновение / анализа защищенности.
- Формирование отчетных материалов из автоматизированных систем сборки отчетов.
- Подготовка аналитических отчетов для заказчиков по результатам.
- Трекинг проектов отдела аудита и загрузки исполнителей
- Согласование с командой пентеста загруженности на проектах.
- Контроль ведения графика занятости специалистов.
- Работа с системами трекинга и отчетности
- Ведение и доработка базы стандартных уязвимостей для систем автоматизированной отчетности.
- Доработка шаблонов отчетов, заключений, методик и технических заданий.
- Развитие инструментов и процессов ведения и закрытия проектов.
- Участие в разработке системы отчетности на уровне формирования требований к системе и приема результатов разработки.
Требования:
- Умение работать по процессам и выстраивать их
- Внимательность и аккуратность
- Способность работать с информацией и документами
- Аналитическое мышление и логика
- Грамотное письмо и речь
- Уверенные навыки работы в офисном ПО (Word, Excel)
- Гражданство РФ
Будет плюсом:
- Понимание процессов аудита ИБ/тестирования на проникновение/анализа защищенности
- Опыт работы на аналогичных позициях (аналитик отдела пентеста)
- Опыт работы в ИТ/ИБ (системная интеграция, консалтинг)
- Знание английского языка (B1+)
- Высшее техническое образование
Плюшки:
- Гибридный или полностью удаленный формат работы (важно проживание в РФ) - можно смешивать удаленную работу и работу в офисе. (Офис: БЦ Суперметалл, м. Бауманская)
- Гибкий график работы - работу можно выполнять в вечернее время суток (Совмещение с учебой возможно, если вы готовы к загрузке 8 часов в р.д.)
- Молодой коллектив и титулованная компания, принимающая активное участие в рынке ИБ в России
- Активное участие в жизни сообщества экспертов по кибербезопасности в России
- Бесплатный доступ к любым курсам компании CyberEd (cyber-ed.ru)
- Возможность совмещать работу с учебой
- Возможность дальнейшего роста в одном из направлений (управление проектами, пентест, пресейл, другие направления)
- Корпоративный ноутбук (MacBook 2023г.)
Оклад:
60 - 120 т.р. (на руки) по результатам собеседования.
Аналитик отдела аудита ИБ
Компания:
ООО “Синглтон Секьюрити” (singleton-security.ru)
Контактное лицо: @I_rina_shirshova (Присылайте резюме)
Задача: Работа с командой отдела аудита ИБ (группами по тестированию на проникновение / анализу защищенности)
Обязанности:
- Работа с результатами и отчетностью по проектам компании
- Анализ выявленных уязвимостей и формирование описания проблем безопасности под проект.
- Работа с аналитическими выводами по результатам работ.
- Подготовка аналитического заключения по результатам оказания услуг тестирования на проникновение / анализа защищенности.
- Формирование отчетных материалов из автоматизированных систем сборки отчетов.
- Подготовка аналитических отчетов для заказчиков по результатам.
- Трекинг проектов отдела аудита и загрузки исполнителей
- Согласование с командой пентеста загруженности на проектах.
- Контроль ведения графика занятости специалистов.
- Работа с системами трекинга и отчетности
- Ведение и доработка базы стандартных уязвимостей для систем автоматизированной отчетности.
- Доработка шаблонов отчетов, заключений, методик и технических заданий.
- Развитие инструментов и процессов ведения и закрытия проектов.
- Участие в разработке системы отчетности на уровне формирования требований к системе и приема результатов разработки.
Требования:
- Умение работать по процессам и выстраивать их
- Внимательность и аккуратность
- Способность работать с информацией и документами
- Аналитическое мышление и логика
- Грамотное письмо и речь
- Уверенные навыки работы в офисном ПО (Word, Excel)
- Гражданство РФ
Будет плюсом:
- Понимание процессов аудита ИБ/тестирования на проникновение/анализа защищенности
- Опыт работы на аналогичных позициях (аналитик отдела пентеста)
- Опыт работы в ИТ/ИБ (системная интеграция, консалтинг)
- Знание английского языка (B1+)
- Высшее техническое образование
Плюшки:
- Гибридный или полностью удаленный формат работы (важно проживание в РФ) - можно смешивать удаленную работу и работу в офисе. (Офис: БЦ Суперметалл, м. Бауманская)
- Гибкий график работы - работу можно выполнять в вечернее время суток (Совмещение с учебой возможно, если вы готовы к загрузке 8 часов в р.д.)
- Молодой коллектив и титулованная компания, принимающая активное участие в рынке ИБ в России
- Активное участие в жизни сообщества экспертов по кибербезопасности в России
- Бесплатный доступ к любым курсам компании CyberEd (cyber-ed.ru)
- Возможность совмещать работу с учебой
- Возможность дальнейшего роста в одном из направлений (управление проектами, пентест, пресейл, другие направления)
- Корпоративный ноутбук (MacBook 2023г.)
Оклад:
60 - 120 т.р. (на руки) по результатам собеседования.
Forwarded from Standoff 365
🧐 Вы гуру кибербезопасности? Знаете, как искать уязвимости и зарабатывать на ипотеку? Готовы делиться лайфхаками с комьюнити?
Тогда у вас есть возможность получить инвайт на предстоящий Standoff Hacks, который пройдет 26 ноября, — priv8-ивент для самых крутых багхантеров. Всего мы разыграем шесть инвайтов, пять из которых — за лучшие статьи и один бонусный.
Четыре простых условия:
1. Вам нужно написать статью о прикладной безопасности, которая помогла бы коллегам по цеху стать сильнее.
2. Вы можете выбрать любую тему, в которой максимально прошарены: сделать анализ вредоноса, 1-day-уязвимости или же рассказать о своем уникальном подходе к поиску багов.
3. Мы не ждем большого материала, главное для нас — его качество в плане технической начинки и в плане текста. Для наглядности — вот пример крутой публикации от команды PT SWARM.
4. Креатив приветствуется. Хотите сделать статью в виде комикса или чек-листа — welcome.
🎁 И бонус: еще один инвайт мы дадим участнику, который сделает видео с разбором уязвимости или описанием своего подхода к багхантингу. Оценивать будем в том числе и по визуалу, например, плюсом будет нарисованная инфографика.
Все работы будут опубликованы в нашем блоге на «Хабре»!
Ждем ваших материалов до 15 октября, отправляйте их Карине: @k41riN4
А лучших авторов — ждем на Standoff Hacks, о котором мы подробнее расскажем в ближайшее время 😉
Тогда у вас есть возможность получить инвайт на предстоящий Standoff Hacks, который пройдет 26 ноября, — priv8-ивент для самых крутых багхантеров. Всего мы разыграем шесть инвайтов, пять из которых — за лучшие статьи и один бонусный.
Четыре простых условия:
1. Вам нужно написать статью о прикладной безопасности, которая помогла бы коллегам по цеху стать сильнее.
2. Вы можете выбрать любую тему, в которой максимально прошарены: сделать анализ вредоноса, 1-day-уязвимости или же рассказать о своем уникальном подходе к поиску багов.
3. Мы не ждем большого материала, главное для нас — его качество в плане технической начинки и в плане текста. Для наглядности — вот пример крутой публикации от команды PT SWARM.
4. Креатив приветствуется. Хотите сделать статью в виде комикса или чек-листа — welcome.
🎁 И бонус: еще один инвайт мы дадим участнику, который сделает видео с разбором уязвимости или описанием своего подхода к багхантингу. Оценивать будем в том числе и по визуалу, например, плюсом будет нарисованная инфографика.
Все работы будут опубликованы в нашем блоге на «Хабре»!
Ждем ваших материалов до 15 октября, отправляйте их Карине: @k41riN4
А лучших авторов — ждем на Standoff Hacks, о котором мы подробнее расскажем в ближайшее время 😉
🔥4
Обязательно запланировать и потратить немного времени, чтобы посмотреть актуальщину по похекам:)
Forwarded from Пост Импакта
🔥14