Вот и закончилась конференция KazHackStan, организаторы были гостеприимны к иностранным гостям, сняли им дорогой отель и угостили барашком.
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
«Red Purple Team»
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
Доклады, которые были на конференции прикреплены файлами к посту выше:
«Выйди и зайди нормально!» (Ломаем Bitrix)
@i_bo0om
«Атакуем языковые модели»
@wearetyomsmnv
«Что нужно учитывать при первом участии в Bug Bounty?»
@turbobarsuchiha — triage team Standoff365
«Ломаем Ethereum: Пентестинг Смарт-Контрактов»
@gspdnsobaka — triage team Immunefi
@Sn0w7 — lead MTC RED
«DevSecOps»
@gazizovasg — Swordfish
«Как ломать SAML, если у меня лапки?»
@agrrrdog — Acunetix
«Offensive OSINT»
@adkkkkkkkk — Innostage
🔥21👍8❤6❤🔥1🌚1
Выпустили Nuclei v3 — добавили возможность писать код на bash, Python, Javascipt прямо в YAML файлах. А также запускать другие утилиты, например sqlmap.
Поскольку теперь шаблоны могут выполнять код, нужно задаться вопросом безопасности, в статье релиза сказано что шаблоны модерируются и подписываются подписью. Поскольку теперь поддерживаются разные "протоколы" можно вытащить например СNAME для доменов.
Получается Nuclei это теперь оркестратор с поддержкой Javanoscript 🤔
blog.projectdiscovery.io/nuclei-v3-featurefusion/
Поскольку теперь шаблоны могут выполнять код, нужно задаться вопросом безопасности, в статье релиза сказано что шаблоны модерируются и подписываются подписью. Поскольку теперь поддерживаются разные "протоколы" можно вытащить например СNAME для доменов.
Получается Nuclei это теперь оркестратор с поддержкой Javanoscript 🤔
code:
- engine:
- sh
- bash
source: |
echo "$OAST" | base64
- engine:
- py
- python3
source: |
import base64
import os
text = os.getenv('OAST')
text_bytes = text.encode('utf-8')
blog.projectdiscovery.io/nuclei-v3-featurefusion/
ProjectDiscovery
Introducing Nuclei v3 with improved vulnerability scanning features — ProjectDiscovery Blog
ProjectDiscovery has been working hard over the recent months! Recent template releases have been covering important CVEs and other exploitable vulnerabilities, we’ve been speaking at various conferences, and moreover, we’ve been crafting and writing major…
👍19❤🔥6🔥5❤1
Недавно OpenAI представила для подписчиков Plus контекстное окно в 32к токенов! А еще возможность создания кастомных GPT на основе своих данных.
Мне пришла идея создать свою сборку — загрузить чеклисты и методологии файлами в конфигуратор.
Представляю вашему вниманию Кавычка GPT
Теперь модель больше не будет спорить с вами об этичности пэйлоадов.
https://chat.openai.com/g/g-5KWmQ9wKU-kavychka-gpt
Мне пришла идея создать свою сборку — загрузить чеклисты и методологии файлами в конфигуратор.
Представляю вашему вниманию Кавычка GPT
Теперь модель больше не будет спорить с вами об этичности пэйлоадов.
https://chat.openai.com/g/g-5KWmQ9wKU-kavychka-gpt
ChatGPT
ChatGPT - Кавычка GPT
appsec & bugbounty
👍27🔥13❤🔥3
Forwarded from SHADOW:Group
Недавно было раскрыто несколько отчетов (например тут или тут), где исследователь просто отслеживал изменения в файлах JS и таким образом находил уязвимости.
Почитать подробнее об этом вы можете тут, а ниже прикладываю инструмент, который поможет вам отслеживать такие изменения и информировать вас о них в телеграмм.
Thx @cyb3r4z
Ссылка на GitHub
#web #tools #js
Please open Telegram to view this post
VIEW IN TELEGRAM
GitHub
GitHub - robre/jsmon: a javanoscript change monitoring tool for bugbounties
a javanoscript change monitoring tool for bugbounties - GitHub - robre/jsmon: a javanoscript change monitoring tool for bugbounties
🔥14👍5❤🔥1
Forwarded from Positive Technologies
Если вы всегда мечтали собрать целый стадион, у нас отличные новости: PHDays Fest в этом году пройдет в «Лужниках» в Москве с 23 по 26 мая.
Спортивный комплекс на четыре дня превратится в киберарену: мы создадим настоящий мегаполис с интерактивными инсталляциями, а сотни спикеров расскажут о кибератаках и способах им противостоять.
🤟 Ждем крутых докладов как от профи, так и от новичков: главное — свежий взгляд на актуальные проблемы ИБ и пути их решения. Узнать все подробности и оставить заявку можно на сайте киберфестиваля.
• Темы докладов принимаются до 15 марта
• Будут два формата: доклад на 50 минут и короткое выступление на 15 минут.
• Подавать заявку необходимо лично
До встречи на втором международном киберфестивале PHDays!
Больше подробностей — soon.
@Positive_Technologies
#PHD2
Please open Telegram to view this post
VIEW IN TELEGRAM
👍8❤1
Новая статья в блоге PT SWARM про раскрытие исходного кода asp[.]net приложений
https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/
https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/
PT SWARM
Source Code Disclosure in ASP.NET apps
Earn $10,000 on bugbounty with this little trick!
🔥11👍3❤🔥2
Forwarded from Поросёнок Пётр
В нашем новом выпуске мы пригласили человека из мира мобильного багхантинга, активного участника форума Antichat, и автора проекта reFlutter. Его история вызывает восхищение и уважение 🦾
https://youtu.be/2KCSxYQ543M
https://youtu.be/2KCSxYQ543M
🔥31👍6🤔1
Поросёнок Пётр
В нашем новом выпуске мы пригласили человека из мира мобильного багхантинга, активного участника форума Antichat, и автора проекта reFlutter. Его история вызывает восхищение и уважение 🦾 https://youtu.be/2KCSxYQ543M
Спасибо @ValyaRoller за приглашение на подкаст! Подписывайтесь на его замечательный канал @pigPeter
Кому интересен кейс с paypal, тут подробнее можно почитать: t.me/postImpact/6
такой же кейс все еще работает с TripAdvisor так что можете счейнить до high с любой xss на поддоменах:
Вообще многие сдают не раскручивая — сдают medium вместо high теряя значительное bounty.
Еще кейс с dyson не попал в видео, там я рассказывал про то что у них одна тестовая репа попала в публичный bitbucket (всего на пару часов), а там был логин/пароль QA. И пароль подходил к его рабочему outlook , внутреннему bitbucket и slack. Как итог - доступ к главному домену dyson.com и сорцам. Так что нужны второй фактор и еще фингерпиринты к браузерам/ip.
про мою первую багу в ICQ, на самом деле 150$ (отчет оказался частично раскрытым) — https://hackerone.com/reports/373909
Кому интересен кейс с paypal, тут подробнее можно почитать: t.me/postImpact/6
такой же кейс все еще работает с TripAdvisor так что можете счейнить до high с любой xss на поддоменах:
Pattern.compile("^(?:https?\\:\\/\\/(?:[A-Za-z0-9_\\-]+\\.(dhcp(\\-[A-Za-z]+)?\\.([A-Za-z0-9_\\-]+\\.corp\\.)?|(nw\\.)?dev(\\-[A-Za-z]+)?\\.|cmc\\.|d\\.)?)?tripadvisor\\.(?:com|(?:[a-z]{2})|(?:(?:co|com)\\.[a-z]{2})))?\\/.*$");Вообще многие сдают не раскручивая — сдают medium вместо high теряя значительное bounty.
Еще кейс с dyson не попал в видео, там я рассказывал про то что у них одна тестовая репа попала в публичный bitbucket (всего на пару часов), а там был логин/пароль QA. И пароль подходил к его рабочему outlook , внутреннему bitbucket и slack. Как итог - доступ к главному домену dyson.com и сорцам. Так что нужны второй фактор и еще фингерпиринты к браузерам/ip.
про мою первую багу в ICQ, на самом деле 150$ (отчет оказался частично раскрытым) — https://hackerone.com/reports/373909
❤🔥11👍9🔥2❤1
Незабываемый отдых на Бали!
🌴 Хочешь полететь на Бали, поплавать в море и окунуться в атмосферу индонезийских тропических островов? У тебя есть шанс!
Скоро конец подачи докладов на SAS 2024!
Security Analyst Summit — это эксклюзивная трехдневная конференция, для ведущих исследователей в области борьбы с вредоносным ПО, групп реагирования на компьютерные инциденты и т.д. На конференции спикеры впервые поделятся эксклюзивными докладами и идеями.
Отправить заявку: thesascon.com/papers
Об отеле: sofitel-bali-nusa-dua-beach-resort.all-balihotels.net
PDF: thesascon.com/files/SAS_2024.pdf
Bali, Indonesia, 22-25 Oct, 2024
🌴 Хочешь полететь на Бали, поплавать в море и окунуться в атмосферу индонезийских тропических островов? У тебя есть шанс!
Скоро конец подачи докладов на SAS 2024!
Security Analyst Summit — это эксклюзивная трехдневная конференция, для ведущих исследователей в области борьбы с вредоносным ПО, групп реагирования на компьютерные инциденты и т.д. На конференции спикеры впервые поделятся эксклюзивными докладами и идеями.
Отправить заявку: thesascon.com/papers
Об отеле: sofitel-bali-nusa-dua-beach-resort.all-balihotels.net
PDF: thesascon.com/files/SAS_2024.pdf
Bali, Indonesia, 22-25 Oct, 2024
🐳11👎7🔥4🥱3🌚3👍1😁1🤔1🤣1