Полезный, регулярно обновляемый репозиторий для багбаунти, редтима и пентеста, содержащий подборку материалов по различным CVE уязвимостям.
#cve #bugbounty #pentest
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥5❤1👍1
Сегодня мы бы хотели поделиться с вами информацией о XSS-уязвимости, которую обнаружил исследователь с Хабра в Telegram около месяца назад. Также статья коснется некоторых особенностей работы программы поиска уязвимостей от Telegram.
#XSS #pentest #BugBounty #Telegram
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2
Media is too big
VIEW IN TELEGRAM
— Большой выпуск про Docker. В этом выпуске вы узнаете что такое Docker, познакомитесь с базовыми понятиями. И конечно будут практические примеры:
0:00:00 Вступление;
0:02:22 Что такое Docker?
0:16:29 Простой пример Hello World;
0:31:34 Пример WEB приложения;
0:35:55 Работаем с портами;
0:41:10 Что такое docker volume;
0:46:54 Поднимаем временную базу данных;
0:55:26 Разворачиваем реальный проект;
1:00:35 Что такое docker-compose;
1:05:23 Создаем виртуальную машину (подробно);
1:08:25 Ставим Docker и Docker compose на Linux;
1:10:17 Delpoy проекта с ипользованием GitHub;
1:16:50 Delpoy проекта с ипользованием DockerHub.
#Docker #RU
Please open Telegram to view this post
VIEW IN TELEGRAM
❤🔥4
Шаблоны CVE в официальном репозитории nuclei-templates бывают бесполезны для публичных bug bounty программ, так как большое количество людей использует эти шаблоны в поисках быстрых и простых уязвимостей.
Однако, за нас с вами потрудились и собрали список известных CVE, шаблоны для которых отсутствуют в Nuclei. Таким образом, вы можете составить собственные шаблоны, отыскать новые уязвимости и при желании поделиться с сообществом.
#Web #CVE #infosec
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2🔥1
@free_oxfordbot - новый бот, который содержит +300 курсов, от кибербезопасности до инвестиции.
Всегда под рукой! Пользуйся!
Всегда под рукой! Пользуйся!
👍3🥱2👎1🔥1
Статический инструмент тестирования безопасности приложений (SAST), сканирует исходный код и анализирует потоки данных, чтобы обнаруживать, фильтровать и оценивать приоритеты уязвимостей и рисков в безопасности, связанных с утечкой конфиденциальных данных. На данный момент поддерживаются стеки JavaScript и Ruby.
#Cybersecurity #infosec #infosecurity
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4❤1
— Ключевые этапы и технологии в развитии виртуализации. От VMware до Kubernetes. От серверов до микросервисов:
• Введение;
• История развития виртуализации;
• Серверы;
• Виртуальные машины;
• Гипервизоры второго типа;
• Лабораторная работа №1. Создаем VM;
• Гипервизоры первого типа;
• Лабораторная работа №2. ESXi;
• Контейнеры;
• Лабораторная работа №3;
• Микросервисная архитектура;
• Kubernetes;
• Облачные провайдеры;
• Лабораторная работа №4;
• Заключение.
#Virtualization #Kubernetes #VMware
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
Media is too big
VIEW IN TELEGRAM
В докладе Алексей рассмотрит проблемы и кейсы безопасности в финансовых организациях. Поговорит об актуальных проблемах последних двух лет (как поменял ковид нашу жизнь, что мы сделали с Log4Shell и другое). На примере покажет, как выглядят процессы AppSec в банке.
#vulnerabilities #video
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Apache Apisix имеется уязвимость в плагине batch запросов, приводящую к удалённому выполнению кода (CVE-2022-24112).
#rce #cve
Please open Telegram to view this post
VIEW IN TELEGRAM
👍1
Пара полезных каналов для тех, кто увлекается кибербезом:
🧑💻 Этичный Хакер - Авторский канал c инструкциями по пентесту, деанону, СИ, защите устройств и бесплатными курсами по информационной безопасности.
🏳 ️ Mr. Robot - Реальные кейсы, OSINT, обзоры инструментов с github, гайды по анонимности.
Please open Telegram to view this post
VIEW IN TELEGRAM
👍2❤1
Ниже представлена небольшая подборка Google дорков для поиска открытых веб-камер:
allinnoscript: "Network Camera NetworkCamera"
innoscript:"EvoCam" inurl:"webcam.html"
innoscript:"Live View / - AXIS"
innoscript:"LiveView / - AXIS" | inurl:view/view.shtml
innoscript:"Live View / - AXIS" | inurl:/mjpg/video.mjpg?timestamp
inurl:axis-cgi/jpg
inurl:"MultiCameraFrame?Mode=Motion"
inurl:/view.shtml
inurl:/view/index.shtml
"my webcamXP server!"
#DorkingPlease open Telegram to view this post
VIEW IN TELEGRAM
🌚6👍5👨💻1
В этой статье посвятим вас в мир защиты беспроводных сетей и рассмотрим способы защиты вашего Wi-Fi устройства.
#WiFi
Please open Telegram to view this post
VIEW IN TELEGRAM
👍4🥴1
Wireshark полезен для многих задач в работе сетевого инженера, специалиста по безопасности или системного администратора.
#wireshark
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6
Заметил на GitHub Python скрипт, который позволяет через Telegram бота выполнять команды на вашем сервере и присылает результаты выполнения.
Может быть полезен при выполнении длительных команд, особенно, если они требуют взаимодействия с пользователем.
#bash #python #vps
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7
Директор избирательной комиссии города Милуоки, Клер Вудолл-Вогг, стала жертвой оскорблений и угроз после публикации её переписки с консультантом по выборам на сайтах Gateway Pundit и Wisconsin Spotlight в 2021 году.
Но, одного из зачинщиков конфликта идентифицировали по метаданным его зашифрованной почты ProtonMail, которые ФБР удалось получить от компании Proton Technologies.
secure email made simple, да-да...
#news
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯13👍3😁3
💉Про полезные нагрузки для SQL инъекций
Данная простая полезная нагрузка для SQL-инъекции будет охватывать не менее 3 различных кейсов:
Данный список вы можете пополнить самостоятельно. Хорошей практикой будет использование тестовых лабораторий и создание нескольких полезных нагрузок для каждого сценария с использованием различных методов.
Это действительно улучшит ваши навыки работы с SQL-инъекциями и пополнит список рабочих полезных нагрузок в вашем арсенале.
Поэтому перестаньте использовать бесполезные вордлисты на 1к строк, не понимая должным образом, что они делают или как они работают. Помните, что из выбора бесполезного количества в ущерб качеству никогда не выйдет ничего хорошего, кроме потери действительно хороших возможностей.
P.S. Для тестов всего этого прекрасно подойдет sqlfiddle.com, в котором можно создавать и тестировать запросы к БД. Тут пример инъекции с применением полезных нагрузок из поста.
#Web #SQLi
Данная простая полезная нагрузка для SQL-инъекции будет охватывать не менее 3 различных кейсов:
SLEEP(5) /*' or SLEEP(5) or'" or SLEEP(5) or "*/
Немного изменив ее, мы можем добиться отсутствия пробелов, что сделает ее более универсальной:SLEEP(5)/*'or(SLEEP(5))or'"or(SLEEP(5))or"*/
Немного модифицировав её, вы сможете охватить некоторые другие случаи:)SLEEP(0.5)(/*')or(SLEEP(0.5))or('")or(SLEEP(0.5))or("*/
Все дело в построении уязвимых SQL-запросов и поиска полезных нагрузок для каждого из них. Данный список вы можете пополнить самостоятельно. Хорошей практикой будет использование тестовых лабораторий и создание нескольких полезных нагрузок для каждого сценария с использованием различных методов.
Это действительно улучшит ваши навыки работы с SQL-инъекциями и пополнит список рабочих полезных нагрузок в вашем арсенале.
Поэтому перестаньте использовать бесполезные вордлисты на 1к строк, не понимая должным образом, что они делают или как они работают. Помните, что из выбора бесполезного количества в ущерб качеству никогда не выйдет ничего хорошего, кроме потери действительно хороших возможностей.
P.S. Для тестов всего этого прекрасно подойдет sqlfiddle.com, в котором можно создавать и тестировать запросы к БД. Тут пример инъекции с применением полезных нагрузок из поста.
#Web #SQLi
👍4❤1
📬 Пассивный сканер портов
Smap - это копия Nmap, которая использует бесплатный API shodan.io для сканирования портов. Он принимает те же аргументы командной строки, что и Nmap, и производит тот же вывод.
Особенности:
• Сканирует 200 хостов в секунду
• Включает обнаружение уязвимостей
• Поддерживает все форматы вывода nmap
• Учетная запись shodan не требуется
• Полностью пассивный, всего 1 http запрос на хост
• и др…
⏺ Ссылка на инструмент
#Recon
Smap - это копия Nmap, которая использует бесплатный API shodan.io для сканирования портов. Он принимает те же аргументы командной строки, что и Nmap, и производит тот же вывод.
Особенности:
• Сканирует 200 хостов в секунду
• Включает обнаружение уязвимостей
• Поддерживает все форматы вывода nmap
• Учетная запись shodan не требуется
• Полностью пассивный, всего 1 http запрос на хост
• и др…
#Recon
Please open Telegram to view this post
VIEW IN TELEGRAM
👍7🆒2
IPSec широко используется для шифрования данных при передаче по незащищенным сетям. Однако для этого набора протоколов администраторы часто используют настройки, которые не обеспечивают требуемого уровня безопасности.
Мы рассмотрим уязвимости IPSec pre-shared key, типичные ошибки при внедрении IPSec с аутентификацией PKI CA и другие нюансы, которые важно понимать при его использовании в корпоративной сети.
• Как устроен IPSec;
• Безопасность IPSec;
• Безопасность протокола IKE;
• MitM на IPSec с PSK;
• MitM на IPSec с RSA-Sig;
• Защита IPSec.
#IPSec #MitM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤1👍1🔥1
Скрипт, позволяющий немного автоматизировать процесс поиска и найти конфиденциальную информацию с помощью дорков через Bing, Google и Yahoo.
#Web #Recon
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3
Бесплатный набор практических заданий от TheXSSRat, которые будут полезны новичкам и помогут вам проверить свои навыки в поиске и эксплуатации распространённых в Bug Bounty уязвимостей, таких как IDOR, XSS, CSRF и логические уязвимости.
Автор также обещает пополнения текущего списка заданий.
#Web
Please open Telegram to view this post
VIEW IN TELEGRAM
👍5