⛈ Android, Web, Hardware Pentest Course

Привет! Нашел интересный курс по андроид пентесту который разработал Google соместно с ютубером LiveOverflow
Курс мне показался достаточно интересным.

🟢Что еще не мало важно в первую очередь тебя учат как создавать свои мобильные приложения, а уже потом реверсить, перехватывать трафик и атаковать компоненты мобильного приложения
Также чуть-чуть материала по веб и hardware пентесту тоже имеется 💾

🟢Но насколько он бесплатный я так и не понял, вроде бы функционал подписки у них есть, а вроде бы модули открываются и без нее
Happy hacking 😘

📶 Курс
📶 Видео

ЧТНП | #mobile #web #hardware

⚡️Что такое Bug Bounty, какие модели программ есть в мире и каковы перспективы развития?

Обсудили в новом выпуске подкаста «Безопасный выход» с Петром Уваровым, Head of VK Bug Bounty.

Смотрите подкаст и вы узнаете:

• какие самые крупные площадки Bug Bounty существуют в России;
• в чем разница пентеста и Bug Bounty;
• как много багхантеров в России, и сколько они могут зарабатывать;
• какие бонусы для своих багхантеров готовит площадка VK;
• какая ответственность предусмотрена для платформ Bug Bounty и багхантеров в России.

▶️VK Видео

▶️Rutube

▶️YouTube

🎼Podster

Делитесь своими впечатлениями в комментариях под видео!
#подкаст #БезопасныйВыход

13-14 ноября 2024 все летят на
III Международный Технологический Форум
THE TRENDS

⚡️ Ведь за последний год THE TRENDS стал одним из главных событий для блокчейн и AI индустрий в СНГ!

4500 человек: визионеры, инноваторы, лидеры мнений, предприниматели и топ-менеджеры из Blockchain, AI и IT отраслей, представители СМИ и креативной индустрии.

———————————————

🟩 2 Сцены, 50 стендов и топовые привозы спикеров:

Justin Sun, Основатель и СЕО Tron
Jeremie Davinci, топ 10 инфл в крипте
Andres Meneses, Chairman of OG Media Group
Serge Ajamian, Основатель Centauri Digital Asset Group, сооснователь Ordinals (UAE)
Alessandro Rocco Pietrocola, CЕО Astorts Group (United Kingdom)
Сергей Безделов, Президент ассоциации промышленного майнинга
Владимир Смеркис, Сооснователь Blum. Бывший директор BINANCE в СНГ
Эдгар Григорян, Основатель ATF MEDIA и сооснователь DAOPEOPLE
Alex Gajic, Сооснователь децентр. соцсети DAOPEOPLE (Serbia, UAE)
Иван Шемелин, Директор по развитию JJO в странах СНГ
Олег Артемьев, Автор канала Ленивый инвестор
Александр Рахманин, вице-президент Росбанк
Сергей Марков, Управляющий директор «Салют» ПАО Сбербанк

И еще 70 топ спикеров из блокчейн и других индустрий

🟩 VIP зона с премиальным баром и кальянами, а также убойное AFTERPARTY на Арбате (Для VIP билетов)

———————————————

🔗 По этой ссылке вы получите скидку 10% на любой билет (скидка сработает при переходе на страницу оплаты)

Форум проходит при поддержке
генерального спонсора JJO - сервис
для индексного инвестирования в рынок криптовалют.
JJO - это  S&P 500 в мире децентрализованной экономики.

ВИПов и Бизнес билетов уже почти не осталось - так что не теряем свой шанс поймать ТРЕНДЫ

Присоединяйтесь к III Международному Технологическому Форуму THE TRENDS!

Дата: 13-14 ноября 2024 года
Место: IRRI LOFT, Дербеневская набережная 7, строение 31, Москва

————————————

THE TRENDS - это

⚡️ Главное событие индустрии высоких технологий, объединяющее более 4500 участников и более 80 спикеров.

Гости: визионеры, инноваторы, лидеры мнений, предприниматели и топ-менеджеры из IT, AI и Blockchain секторов, представители СМИ и креативной индустрии.

1️⃣Разнообразие Тем:
Blockchain, AI, IT, глобальные экономические тренды, цифровые активы, рынки BRICS и MENA, инвест. стратегии и многое другое.

2️⃣80+ спикеров - Практики и визионеры: 2 большие сцены и более 30 часов уникальной информации.

3️⃣200+ Инфлюенсеров - ТОП Нетворкинг: Лидеры мнений из различных индустрий

———————————————

В ПРОГРАММЕ:

🟩 PRE-PARTY (12 ноября)
(Для VIP-билетов)

🟩 Сцена TRENDX: визионерские выступления международных и российских спикеров.

🟩 Сцена LEVEL UP: живые лекции, разборы кейсов и стратегий по IT, Blockchain, AI, инвестициям и другим отраслям.

🟩 Выставка на 50 стендов: продукты и решения от лучших компаний в IT, AI, Blockchain и других технологических индустриях.

🟩 VIP-пространство: эксклюзивные зоны для нетворкинга, кейтеринг и премиальный бар для VIP-гостей и спикеров.

🟩 AFTERPARTY
(Для VIP билетов)

———————————————

Форум проходит при поддержке
генерального спонсора - JJO

JJO - сервис для индексного инвестирования в рынок децентрализованных финансов

🔗 По этой ссылке вы получите скидку 10% на любой билет (скидка сработает при переходе на страницу оплаты)


Не упустите шанс стать частью самого масштабного и инновационного события года!

⛈Что делать, если пентест стал рутинной и не приносит былого удовольствия

Привет! Рано или поздно любая профессиональная деятельность становится рутиной. Возьмем твой первый взлом, возможно ты испытал ажиотаж, удовольствие, гордость, чувство чего то неизведанного. Это завораживает, заставляет учится, думать, анализировать.

🟢И вот проходит несколько лет: у тебя было сотни похожих проектов, похожих архитектур, механизмов которые ты ломал множества раз, похожие по стеку приложения. На это у тебя уже выработались свои методологии, которые ты используешь в зависимости от ситуации и типа проекта. Это становится рутинной, нет былого удовольствия, огня в глазах еще и отчет писать, это становится похожим на монотонную и однотипную работу. Встает вопрос — что с этим делать? Не вздумай это бросать или менять сферу отвечу я.

🟠Хорошая новость заключается в том, что когда ты достиг рутинности работы и это не приносит удовольствия — это лишь значит то, что ты уже очень близок к тому, чтобы считаться профессионалом.

🔴Тебе нужно углубиться в эту рутину, без рутины никуда, сделай ее комфортнее, лучше, качественнее. А самая высшая точка профессионализма считается нахождения баланса между рутиной и удовольствием. Поэтому углубляйся в нее и найди этот баланс. Возможно получением удовольствия тебе послужат какие то свои исследования, pet-проекты, разработка и все в таком духе.
📌Так что, если ты уже чувствуешь что то похожее или только начнешь это чувствовать, знай — ты на верном пути 😉

📶 Happy Hacking ✌

ЧТНП | #блабла@pntests

🎄 С наступающим новым годом, граждане пентестеры и не только! Пусть все плохое останется в уходящем году, а в новый придёт все хорошее. Желаю вам сильного роста ваших скиллов, правильных решений которые будут вам давать новые открытия, необычных кейсов, ситуаций которые приведут к правильным выводам и пусть огонь и веселье в наших сердцах никогда не гаснет, а если и погас то зажжется снова. И что не мало важно желаю здоровья, как ментального так и физического, всем нам и нашим близким 🥂🥳🎉

С новым 2025 годом 🎄

⛈ Критическая уязвимость в 1С-Битрикс которая использует уязвимость модулей интернет-магазинов Аспро

В модулях, которая разработала компания Аспро для 1С-Битрикс выявлена критическая уязвимость, которая может привести к сбоям в работе корзины покупок и административной панели

📡 Об уязвимости:
Проблема связана с файлами в папке/ајах/, расположенной в корневой директории сайта:
🟢 reload_basket_fly.php;
🟢 show_basket_fly.php;
🟢 show_basket_popup.php

Эти скрипты используют небезопасную функцию unserialize() в PHР, что позволяет злоумышленникам отправлять вредоносные POST-запросы.
В результате возможен удалённый запуск команд (RCE), а также создание скриптами вредоносных файлов .htaccess, php.ini и с произвольными названиями вида 5af47f5502b6.php

📶 Защита
📶 Разбор

ЧТНП | #web

⛈ Application Security Handbook & Cheat Sheet

📌Cheat Sheet:
Этот проект содержит шпаргалки с примечаниями по атакам на приложения и системы:
🤩Android Application
🤩CI/CD
🤩Cloud
🤩Container
🤩Framework
🤩Linux
🤩iOS Application
🤩Web Application

📌Handbook:
Этот проект содержит базу знаний о лучших практиках обеспечения безопасности приложений для разработчиков программного обеспечения и инженеров по безопасности приложений:
🤩Authentication
🤩Authorization
🤩Concept of Trusted Devices
🤩Content Security Policy (CSP)
🤩Cookie Security
🤩Cryptography
🤩Error and Exception Handling
🤩File Upload
🤩Input Validation
🤩JSON Web Token (JWT)
🤩Logging and Monitoring
🤩Output Encoding
🤩Regular Expressions
🤩Sensitive Data Management
🤩Session Management
🤩Transport Layer Protection
🤩Vulnerability Mitigation

📶 AppSec Cheat Sheet & Handbook

ЧТНП | #appsec

🌎 Minecraft servers as a botnet for DDoS attack L7

Решил я значит спустя много лет просто поиграть в майкрафт на пиратских серверах, но видимо просто играть я не умею, в результате я случайно обнаружил уязвимость которая позволяет делать из серверов систему для DDoS атак.

♾ Plugin SkinsRestorer
Данная уязвимость была обнаружена в плагине который позволяет сменить внешность персонажа, эксплуатация довольно простая, нужно всего лишь в чат написать команду /skin url ссылка_на_скин. Мне стало интересно, какие запросы вообще прилетают. Я вставил туда ссылку из interactsh и поймал пару запросов. В запросах ничего особенного, мое внимание привлекло то, что запросы отправляются с разных IP адресов, которые ничего общего с серверами не имеют, чем не классический DDoS? Подумал я и пошел проверять. Долго исследовать и шерстить код я не стал, мне был интересен импакт

🌳 DDoS Attack
Оказалось в Minecraft серверах есть люди владеющие спам-ботами и их устройство довольно простое: есть некий C2 сервер с которого они управляются, именно с него указывают на какой сервер заходить ботам, в каком количестве и какую команду или текст нужно спамить в чат. Их обычно используют малые сервера для похищения онлайна с более крупных серверов. По случайному стечению обстоятельств я познакомился человеком который владеет этим всем и я его попросить в качестве эксперимента устроить атаку на мой тестовый сайт с которого я потом и мониторил нагрузку.

🔥 Impact
Мой тестовый сайт был без защит от DDoS атак. С 1 сервера где находились 20 спам-ботов, которые спамили команду на протяжении 30 минут, это нагрузило процессор на 18%. А вот суммарно 300 ботов, которые находились на 3 разных серверах смогли нагрузить процессор на 100% и в конечном итоге вывести мой сайт из строя 🐷

📌 Минусы
Это трудозатратно и вряд-ли положит современное веб-приложение наподобие paypal, но при должном количестве ботов и серверов с такой уязвимостью, вполне себе сможет положить обыкновенный сайт

ЧТНП | #блабла

Открыли прием заявок на Pentest award 2025!

💡Каждый год мы зажигаем новые яркие лампочки в гирлянде отечественного рынка кибербезопасности — компетентных специалистов, которые остаются за кадром большой работы по поиску уязвимостей.

Участие все еще бесплатное, а прием заявок продлится до 30 июня. В этом году появились новые номинации от спонсоров проекта: Совкомбанк Технологии и BI.ZONE Bug Bounty.

🥇Главный приз за победу — стеклянная именная статуэтка и макбук!
🥈🥉За вторые и третьи места призеры получат айфоны и смарт-часы.
🎬OFFZONE подарит финалистам билеты на свою конференцию 2025.
✏️А учебный центр CyberEd гранты на обучения.
Ну и конечно, самая ценная награда за участие — почет и уважение сообщества этичных хакеров.

Отправляйте заявки на сайте, участвуйте и побеждайте!