Маленькие ошибки в настройке формы восстановления пароля со стороны разработчиков могут стать ключом ко взлому всей компании.
Роман Насибуллин, специалист анализа защищённости приложений Singleton Security, рассказывает в статье на «Хакере», как использовать формы восстановления пароля при пентестах и как защититься от подобных атак.
Внутри:
- Подмена Host-заголовков (включая X-Forwarded-Host и дублирование).
- Фишинговые ссылки через внедрение HTML (dangling markup).
- Уязвимые параметры (baseurl, return_url) и Mass Assignment.
- Предсказуемые токены и атака «сэндвич».
- Ошибки проверки токенов (LIKE, частичное совпадение).
- Слабые генераторы токенов.
- Брутфорс OTP и отсутствие лимитов.
- Type Jungling из-за нестрогих сравнений.
Читать материал:
https://xakep.ru/2025/11/20/bad-forms/
Роман Насибуллин, специалист анализа защищённости приложений Singleton Security, рассказывает в статье на «Хакере», как использовать формы восстановления пароля при пентестах и как защититься от подобных атак.
Внутри:
- Подмена Host-заголовков (включая X-Forwarded-Host и дублирование).
- Фишинговые ссылки через внедрение HTML (dangling markup).
- Уязвимые параметры (baseurl, return_url) и Mass Assignment.
- Предсказуемые токены и атака «сэндвич».
- Ошибки проверки токенов (LIKE, частичное совпадение).
- Слабые генераторы токенов.
- Брутфорс OTP и отсутствие лимитов.
- Type Jungling из-за нестрогих сравнений.
Читать материал:
https://xakep.ru/2025/11/20/bad-forms/
🔥6
Мы продолжаем программу стажировок и ищем начинающих и талантливых пентестеров, разработчиков и ML/Data сайентистов 🧙🏻♂️
Все подробности на нашем сайте по ссылке: https://internship.singleton-security.ru/
А тут для убедительности поделимся отзывом действующего стажёра. До Singleton Security у него был опыт стажировки в сфере Web3.0 безопасности и многочисленные решенные лабы на HackTheBox и Portswigger.
Рассказывает Saoidama:
Записаться на стажировку можно здесь
Все подробности на нашем сайте по ссылке: https://internship.singleton-security.ru/
А тут для убедительности поделимся отзывом действующего стажёра. До Singleton Security у него был опыт стажировки в сфере Web3.0 безопасности и многочисленные решенные лабы на HackTheBox и Portswigger.
Рассказывает Saoidama:
За чуть более чем 2 месяца под присмотром наставника поучаствовал примерно в 10 проектах, в том числе в двух Red Team. Несмотря на то, что у меня был ограниченный доступ, получил тонну практического опыта и узнал то, чего не рассказывают на всяких курсах и обучающих платформах. Познакомился с противодействием, маскировкой, посмотрел на атаки со стороны синей команды. А также приземлял знания на практике, погружался в российские реалии и изучал особенности работы с отечественными CMS.
Расширил мышление от «сделал лабу — конец» до полноценного чейна уязвимостей, чтоб они работали друг на друга, а не были в вакууме. Важной частью обучения также была разведка — то, чему практически не учат в лабораторных условиях, когда тебе самому надо собирать скоуп и его верифицировать, что тоже крайне интересно. Туда же относится и взаимодействие с командой: один нашел, другой домыслил, третий докрутил, что невероятно круто.
Благодаря еженедельным созвонам познакомился и с внутренней кухней бизнеса немного, и как работают процессы на уровнях восприятия выше, нежели у обычного пентестера. Тоже расширение сознания.
Ещё научился лучше структурировать свою работу — когда в проекте 300+ доменов, а таких проектов 2-3, то систематизация напрашивается сама по себе. Организация собственных заметок, ведение рабдока, построение собственного покрытия и так далее. А также умение донести свои мысли до других, и в той же мере — способность выслушать и понять коллег.
Записаться на стажировку можно здесь
🔥6
Мы ищем того самого системного админа, который держит инфраструктуру в порядке так же уверенно, как другие держат кофе по утрам.
Если обожаешь порядок в системах, умеешь предугадывать проблемы и закрывать их ещё до того, как они появились — залетай!
🛠 Что будешь делать:
Рулить серверами и сайтами на WordPress и Bitrix
Работать с облаками (да, Яндекс.Cloud, привет)
Поддерживать и развивать IT-инфраструктуру
Настраивать и управлять сетевым оборудованием
Обеспечивать информационную безопасность на уровне инфраструктуры
Помогать коллегам: рабочие станции, доступы, ПО — ты знаешь этот квест
🎯 Кого ищем:
Сисадмина с опытом 1–2+ лет
Человека, который уверен в Windows / Linux / WordPress / Bitrix
Разбирается в сетях, протоколах и базовой ИБ
Может объяснить сложноe простыми словами
И просто любит, когда инфраструктура работает!
🚀 Что даем:
Оформление под тебя: СЗ/ГПХ/ТД(возможно совмещение)
Гибридный формат: удалёнка/офис 1–2 раза в неделю при необходимости
Дружная команда и поддержка на старте
Если чувствуешь, что это твоя роль — отправляй резюме на [v.safiulina@singleton-security.ru / @valeriyasafiullina] или пиши в личку канала. Будем рады познакомиться!
Если обожаешь порядок в системах, умеешь предугадывать проблемы и закрывать их ещё до того, как они появились — залетай!
🛠 Что будешь делать:
Рулить серверами и сайтами на WordPress и Bitrix
Работать с облаками (да, Яндекс.Cloud, привет)
Поддерживать и развивать IT-инфраструктуру
Настраивать и управлять сетевым оборудованием
Обеспечивать информационную безопасность на уровне инфраструктуры
Помогать коллегам: рабочие станции, доступы, ПО — ты знаешь этот квест
🎯 Кого ищем:
Сисадмина с опытом 1–2+ лет
Человека, который уверен в Windows / Linux / WordPress / Bitrix
Разбирается в сетях, протоколах и базовой ИБ
Может объяснить сложноe простыми словами
И просто любит, когда инфраструктура работает!
🚀 Что даем:
Оформление под тебя: СЗ/ГПХ/ТД(возможно совмещение)
Гибридный формат: удалёнка/офис 1–2 раза в неделю при необходимости
Дружная команда и поддержка на старте
Если чувствуешь, что это твоя роль — отправляй резюме на [v.safiulina@singleton-security.ru / @valeriyasafiullina] или пиши в личку канала. Будем рады познакомиться!
🔥4
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6😁2
Мы подготовили масштабное исследование о киберугрозах финансового сектора РФ совместно с партнёрами из Кибердома и Акрибии.
Опросили CISO российских банков и собрали ключевые данные, которые помогут стратегически подойти к защите в 2026 году.
Вот некоторые тейки:
— до 50% успешных взломов происходят через подрядчиков и цепочки поставок
— 37% атак стартуют с компрометации учётных данных
— почти 56% респондентов уже используют или планируют киберстрахование
— По мнению CISO самый частый источник инцидентов — это
В исследовании — реальные сценарии атак и векторы угроз, а также выводы для CISO и правления.
Скачать исследование ⬅️
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7❤🔥4
Поздравляем нашего слоняру Cayman812 с приземлением в сезонном топе Standoff Hackbase! 🎉
«В свободное время по фану решал сегмент Standalone, в котором находятся уязвимые хосты по типу тачек на Hack The Box. Потом увидел, что достаточно высоко нахожусь в общем рейтинге и есть шансы залететь в топ-25, тогда решил испытать свои силы в других сегментах» – Cayman812
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Standoff 365
Встречаем 25 лучших исследователей на Standoff Hackbase и Standoff Bug Bounty 🏆
Целый год хардкора и выхода на критические уровни — все ради того, чтобы поднять планку безопасности. Спасибо ребятам за каждую найденную уязвимость, за скил и преданность делу.
Никогда не сдавайся, иди до конца и покоряй топ😎
Целый год хардкора и выхода на критические уровни — все ради того, чтобы поднять планку безопасности. Спасибо ребятам за каждую найденную уязвимость, за скил и преданность делу.
Никогда не сдавайся, иди до конца и покоряй топ
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
❤7
Коллеги, а давайте до праздников
подведём итоги года Singleton Security
📍 Закрыли 87 проектов, обнаружили 842 уязвимости, из которых 258 критических и high
📍 Запустили стажировку (набор круглогодичный) — и один новобранец даже успел пройти путь от стажёра до полноправного бойца команды.
📍 Обзавелись внутренним маскотом — призраком Бобославом, который поддерживает команду морально, стоя у каждого персонально за спиной 👻
📍 Совместно с партнёрами из Кибердома и Акрибии провели исследование трендов кибербезопасности в финансовой сфере РФ
📍 Опубликовали больше трёх десятков статей и комментариев в СМИ, а кейс baksist с пентестом провайдера вошёл в спецвыпуск Хакера с лучшими материалами за 2025 год
…А ещё учили белых хакеров в Зимбабве, набивали руку в Standoff и получали новые сертификаты.
Поздравляем с наступающим Новым годом! И желаем в новом году 👇🏻
- Клиентам: сил и боевой готовности к любым неожиданным событиям 💪🏻
- Команде: готовности к новым вызовам 🙃
- Партнёрам: новых высот и надёжных людей рядом 🫂
- Нам всем: бесконечного спокойствия 💆🏻
С Новым годом!🎉
📍 Закрыли 87 проектов, обнаружили 842 уязвимости, из которых 258 критических и high
📍 Запустили стажировку (набор круглогодичный) — и один новобранец даже успел пройти путь от стажёра до полноправного бойца команды.
📍 Обзавелись внутренним маскотом — призраком Бобославом, который поддерживает команду морально, стоя у каждого персонально за спиной 👻
📍 Совместно с партнёрами из Кибердома и Акрибии провели исследование трендов кибербезопасности в финансовой сфере РФ
📍 Опубликовали больше трёх десятков статей и комментариев в СМИ, а кейс baksist с пентестом провайдера вошёл в спецвыпуск Хакера с лучшими материалами за 2025 год
…А ещё учили белых хакеров в Зимбабве, набивали руку в Standoff и получали новые сертификаты.
Поздравляем с наступающим Новым годом! И желаем в новом году 👇🏻
- Клиентам: сил и боевой готовности к любым неожиданным событиям 💪🏻
- Команде: готовности к новым вызовам 🙃
- Партнёрам: новых высот и надёжных людей рядом 🫂
- Нам всем: бесконечного спокойствия 💆🏻
С Новым годом!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤11🤡1