Пример уязвимого (weak or security issue) кода на примере синтаксисов языков Python, Golang, TypeScript ошибок из классификатора OWASP top 10 - "Cryptographic Failures", "Vulnerable and Outdated Components"
Cryptographic Failures involve improper use of cryptography, while Vulnerable and Outdated Components refers to the use of third-party libraries or frameworks with known vulnerabilities or that are no longer supported
See also:
📌 Examples, And Testing Tips
#AppSec
Cryptographic Failures involve improper use of cryptography, while Vulnerable and Outdated Components refers to the use of third-party libraries or frameworks with known vulnerabilities or that are no longer supported
See also:
📌 Examples, And Testing Tips
#AppSec
Vuln_Code_PHP_TS_Go_fix_[w2hack].pdf
4.5 MB
Пример уязвимого (weak or security issue) кода на примере синтаксисов языков Python, Golang, TypeScript ошибок из классификатора OWASP top 10 - "Cryptographic Failures", "Vulnerable and Outdated Components"
Yolo Space Hacker, 2020
Welcome to our ethical hacker's organisation: we will teach you how to use actual hacker tools (terminal, proxy, reverse shells...) to scan the network, crack passwords, bypass server security and solve the mystery of the Bikini-72 space station.
❗️Official page
📌YouTube
#fun
Welcome to our ethical hacker's organisation: we will teach you how to use actual hacker tools (terminal, proxy, reverse shells...) to scan the network, crack passwords, bypass server security and solve the mystery of the Bikini-72 space station.
❗️Official page
📌YouTube
#fun
❤1❤🔥1
Media is too big
VIEW IN TELEGRAM
White2Hack | Ivan Piskunov
Cybersecurity. From Zero 2 Hero
1️⃣ Я смог. Сможешь и ТЫ! 1️⃣
𝑰 𝒆𝒙𝒑𝒓𝒆𝒔𝒔 𝒎𝒚 𝒆𝒏𝒅𝒍𝒆𝒔𝒔 𝒈𝒓𝒂𝒕𝒊𝒕𝒖𝒅𝒆 𝒕𝒐 𝒆𝒗𝒆𝒓𝒚𝒐𝒏𝒆 𝒘𝒉𝒐 𝒉𝒆𝒍𝒑𝒆𝒅 𝒂𝒏𝒅 𝒔𝒖𝒑𝒑𝒐𝒓𝒕𝒆𝒅 𝒎𝒆, 𝒘𝒉𝒐 𝒉𝒂𝒕𝒆𝒅 𝒂𝒏𝒅 𝒄𝒓𝒊𝒕𝒊𝒄𝒊𝒛𝒆𝒅, 𝒘𝒉𝒐 𝒔𝒉𝒐𝒘𝒆𝒅 𝒎𝒆 𝒑𝒐𝒔𝒔𝒊𝒃𝒊𝒍𝒊𝒕𝒊𝒆𝒔 𝒂𝒏𝒅 𝒊𝒏𝒔𝒑𝒊𝒓𝒆𝒅 𝒎𝒆!
Music provided St1m - DANG
Created and Edited by I.P. (c) 2025
#info
Cybersecurity. From Zero 2 Hero
𝑰 𝒆𝒙𝒑𝒓𝒆𝒔𝒔 𝒎𝒚 𝒆𝒏𝒅𝒍𝒆𝒔𝒔 𝒈𝒓𝒂𝒕𝒊𝒕𝒖𝒅𝒆 𝒕𝒐 𝒆𝒗𝒆𝒓𝒚𝒐𝒏𝒆 𝒘𝒉𝒐 𝒉𝒆𝒍𝒑𝒆𝒅 𝒂𝒏𝒅 𝒔𝒖𝒑𝒑𝒐𝒓𝒕𝒆𝒅 𝒎𝒆, 𝒘𝒉𝒐 𝒉𝒂𝒕𝒆𝒅 𝒂𝒏𝒅 𝒄𝒓𝒊𝒕𝒊𝒄𝒊𝒛𝒆𝒅, 𝒘𝒉𝒐 𝒔𝒉𝒐𝒘𝒆𝒅 𝒎𝒆 𝒑𝒐𝒔𝒔𝒊𝒃𝒊𝒍𝒊𝒕𝒊𝒆𝒔 𝒂𝒏𝒅 𝒊𝒏𝒔𝒑𝒊𝒓𝒆𝒅 𝒎𝒆!
Music provided St1m - DANG
Created and Edited by I.P. (c) 2025
#info
Please open Telegram to view this post
VIEW IN TELEGRAM
Obash - bash noscript obfuscator
Obash is a bash noscript obfuscator written in the C programming language. obash encodes and encrypts bash shell noscripts into executable binaries much like shc, the project that inspired it, but uses AES-256 encryption and the key and initialization vector are retrieved from the hardware instead of being hard coded into the binary itself.
The obash project was started to address some of the issues that affect shc, the main one being able to see the original shell noscript source by simply issuing ps -ef. Although the objectives are the same, obash shares no code with shc and was built from scratch from the ground up, any code similarities are purely accidental and dictated by the shared objectives.
❗️GitHub
⛳️Wiki page
🛡Habr (Rus)
#linux #tricks #coding
Obash is a bash noscript obfuscator written in the C programming language. obash encodes and encrypts bash shell noscripts into executable binaries much like shc, the project that inspired it, but uses AES-256 encryption and the key and initialization vector are retrieved from the hardware instead of being hard coded into the binary itself.
The obash project was started to address some of the issues that affect shc, the main one being able to see the original shell noscript source by simply issuing ps -ef. Although the objectives are the same, obash shares no code with shc and was built from scratch from the ground up, any code similarities are purely accidental and dictated by the shared objectives.
❗️GitHub
⛳️Wiki page
🛡Habr (Rus)
#linux #tricks #coding
❤1
Сетевой детектив: Что не так с этим трафиком?
Есть скриншот и выгрузка в txt некоторого лога системы, где присутствуют артефакты атаки. Проанализируй файл, ответь на вопросы в коменты к посту!
Первые 2 победителя описавшие наиболее полно (вид проблемы, критичность, риски) и давшие исчерпывающий ответ (правила файрволла, рекомендации по портам и т.д.) получать призы от w2hack (книги про хак, Linux мерч)
Сложность: ⭐️⭐️
Категория: network\log forensic
Команда: blue team, defensive team
💎Задачи на анализ:
1. Какая основная аномалия или сетевая атака здесь происходит?
2. Какие дополнительные подозрительные действия\артефакты ты здесь видишь?
3. Какие правила сетевого экрана (iptables, nftables или Windows Firewall) могли бы заблокировать эту активность? Предложи свой вариант firewall rules
GitHub (w2hack official repo)
#quiz #talk
Есть скриншот и выгрузка в txt некоторого лога системы, где присутствуют артефакты атаки. Проанализируй файл, ответь на вопросы в коменты к посту!
Первые 2 победителя описавшие наиболее полно (вид проблемы, критичность, риски) и давшие исчерпывающий ответ (правила файрволла, рекомендации по портам и т.д.) получать призы от w2hack (книги про хак, Linux мерч)
Сложность: ⭐️⭐️
Категория: network\log forensic
Команда: blue team, defensive team
💎Задачи на анализ:
1. Какая основная аномалия или сетевая атака здесь происходит?
2. Какие дополнительные подозрительные действия\артефакты ты здесь видишь?
3. Какие правила сетевого экрана (iptables, nftables или Windows Firewall) могли бы заблокировать эту активность? Предложи свой вариант firewall rules
GitHub (w2hack official repo)
#quiz #talk
Network_Log_Attack_Parsing_[w2hack].txt
1.1 KB
Сетевой детектив: Что не так с этим трафиком?
Крупнейшую российскую авиакомпанию "Аэрофлот" взломали. Десятки рейсов отменены, табло не работают, личный кабинет клиента не доступен. Похищены 12ТБ данных. Хакеры присутствовали внутри корп сети около года. На твой взгляд, что происходит? Причины?
Anonymous Poll
36%
Халатность сотрудников, низкая культура ИБ, херовая подготовка спецов
7%
APT не умолима, атака всегда на шаг впереди защиты, взлом неминуем, закономерный итог для любой АК
7%
Отсутствие адекватных средств защиты (ПО и железо), средств детекции, экономия на бюджете ИБ
4%
0-day, уникальные дыры в ПО, уникальные методы взлома
5%
Сами сотрудники слили ИБ и позволили хакерам попасть в сети (шантаж, подкуп персонала)
11%
Маленький штат спецов ИБ, отсутствие должной подготовки к кибервойне на фоне санкций
5%
Да у них вообще не было никакой ИБ! С голой ж#пой работали
24%
Я не знаю, хочу посмотреть ответы
1%
Свой вариант (пишу в коменты)
OWASP Top 10 API: Полный разбор всех угроз и как от них защититься
Ваш API — "лакомый кусок" для хакеров. Ежегодно через уязвимости в интерфейсах приложений сливаются миллионы записей данных, а средний ущерб от инцидентов достигает $300–800 тыс. С ростом популярности REST, GraphQL и API-first архитектур риски только усиливаются: к 2030 году атаки через API прогнозируют рост на 996%
Готовы ли вы к обороне?
Прочитав статью, вы разберетесь:
✅ Что такое OWASP Top 10 API и почему этот список — must-know для разработчиков, DevOps и безопасников.
✅ Детальный разбор КАЖДОЙ из 10 ключевых угроз (2023): от Broken Object Level Authorization (BOLA) до Unsafe Consumption of APIs.
✅ Конкретные примеры эксплуатации: как хакеры используют уязвимости в реальных атаках.
🛑 Почему object-level authorization — #1 угроза и как она позволяет воровать чужие данные одной строчкой кода.
🛑 Опасные сценарии Mass Assignment: как злоумышленник может стать админом через форму регистрации.
🛑 Реальные кейсы взломов из-за SSRF, небезопасных конфигов CORS и "злых" токенов.
❗️Источник
Смотри еще:
⛳️ Перевод OWASP API Security Top 10
⛳️ Новые угрозы в OWASP API Security Top 10
#AppSec
Ваш API — "лакомый кусок" для хакеров. Ежегодно через уязвимости в интерфейсах приложений сливаются миллионы записей данных, а средний ущерб от инцидентов достигает $300–800 тыс. С ростом популярности REST, GraphQL и API-first архитектур риски только усиливаются: к 2030 году атаки через API прогнозируют рост на 996%
Готовы ли вы к обороне?
Прочитав статью, вы разберетесь:
✅ Что такое OWASP Top 10 API и почему этот список — must-know для разработчиков, DevOps и безопасников.
✅ Детальный разбор КАЖДОЙ из 10 ключевых угроз (2023): от Broken Object Level Authorization (BOLA) до Unsafe Consumption of APIs.
✅ Конкретные примеры эксплуатации: как хакеры используют уязвимости в реальных атаках.
🛑 Почему object-level authorization — #1 угроза и как она позволяет воровать чужие данные одной строчкой кода.
🛑 Опасные сценарии Mass Assignment: как злоумышленник может стать админом через форму регистрации.
🛑 Реальные кейсы взломов из-за SSRF, небезопасных конфигов CORS и "злых" токенов.
❗️Источник
Смотри еще:
⛳️ Перевод OWASP API Security Top 10
⛳️ Новые угрозы в OWASP API Security Top 10
#AppSec
OWASP_Top_10_API_Полный_разбор_всех_угроз_и_как_от_них_защититься.pdf
1.6 MB
OWASP Top 10 API: Полный разбор всех угроз и как от них защититься
Новое задание на тему digital forensic (SoC L2) с данными из реального кейса по расследованию хака Linux кластера в AWS будет выложен 30 июля в 12.00 мск ⚠️
🏆Приз - годовая подписка Telegram Premium
#info
🏆Приз - годовая подписка Telegram Premium
#info
Please open Telegram to view this post
VIEW IN TELEGRAM
Если вы стремитесь переехать в США с минимальными затратами, без инвестиций и поиска работодателя, без трудовой сертификации и теста на знание английского языка и при этом у вас есть профессиональные достижения в бизнесе, науке, искусстве, образовании и спорте, то эта книга для вас.
Из этой книги вы узнаете:
✅ как получить грин-карту Соединенных Штатов Америки по программе талантливых людей и вероятно удивитесь, насколько это реально;
✅ кто может подойти под эту программу;
✅ как проходит процедура получения постоянного вида на жительство в США.
А самое главное, вы получите подробную инструкцию и пошаговое руководство по всему процессу ― от этапа подготовки и сбора доказательной базы до отправки документов в миграционную службу США и получения Green Card (официальное название – Permanent Resident Card).
🔻Сергей Поляков — эксперт по иммиграции в США, создатель проекта «Америка в Деталях», а так же предприниматель, кандидат технических наук, миграционный эксперт, участник телепередач. Он сам получил одобрение по программе EB-1A (Alien of Extraordinary Ability) и прошёл весь путь иммиграции самостоятельно.
🇺🇸 Как стать программистом, переехать в США и получить работу мечты, Виталий Ампилогов, 2021
🇺🇸 Подкаст на Литрес (Алексей Инкин) + YouTube
#book #world #great
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Polyakov_S_Greencard_Ssha_Dlya_Talantov_fb2_specail_for_w2hack
1.3 MB
Green Card США для талантов, Сергей Поляков, 2023
Парни, леди, всем спасибо за то что ты с W2Hack!
За ваши комментарии, за активность в чате, за голосования, за материалы и идеи, которые присылали в личку, за ваши вопросы, за интересные стримы и подскаты в прошлом. Именно вы мотивировали и способствовали наполнению канала контентом, созданию квизов, пазлов, фан подборки и т.д.
#info
За ваши комментарии, за активность в чате, за голосования, за материалы и идеи, которые присылали в личку, за ваши вопросы, за интересные стримы и подскаты в прошлом. Именно вы мотивировали и способствовали наполнению канала контентом, созданию квизов, пазлов, фан подборки и т.д.
#info
❤1👍1
Был stage в моем пути, когда я читал лекции, вел семинары в университете, руководил пред-дипломной практикой, консультировал по ВКР, кто обращался помогал чем мог с материалами. И делал это все не за деньги, а больше как дань уважения к самому себе, когда я был в том же самом возраста что и ты сейчас. Я сам все видел, сам это прошел, знаю чего это стоит.
Я готов поделиться с тобой best practice и own experience. Ведь одно из самых лучших в жизни что мне приходилось видеть - как (ты) поднимаешься к успеху.
Не стесняйся, возможны любые вопросы о кибербезе, работе, (само)обучении, иммиграции, построению физической формы, все что смогу ответить, будет озвучено для тебя!
#info
Please open Telegram to view this post
VIEW IN TELEGRAM
❤2
🔐 КРИМИНАЛИСТИЧЕСКИЙ ЧЕЛЛЕНДЖ: Охота на ботнет в AWS 🛡
Наш кейс:
Три наших сервера в облаке на AWS превратились в зомби. Хакеры юзают их для:
💰 Криптоджекинга (XMRig)
☠️ DDoS-атак на корпорации
🎣 Фишинговых кампаний с легитимных IP
😱 SOC'ники сдались - руткит маскирует процессы, логи частично зачищены. Из тулз у нас только hand made, никакого forensic enterprises софта или сложных систем детекции (SIEM, xDR, EUBA, etc)
Ваша задача, парни:
1️⃣ Найти точку входа (как проникли?)
2️⃣ Вскрыть механизмы персистентности
3️⃣ Выявить C2-каналы
4️⃣ Обнаружить артефакты вредоносной активности (артефакты, индикаторы компрометации, следы)
Вот что у нас есть для анализа:
-
-
-
-
⚠️ Доп. файлы:
➡️ Формат твоего ответа что бы он был засчитан:
- Индикаторы компрометации (IoC)
- Реконструкция Kill Chain (как? куда? в какой последовательности? с помощью чего?)
- Рекомендации по очистке (восстановить машины без реинтстала, бэкапов\спаншотов)
🏆 Лучший разбор получит годовую подписку на Telegram Premium
🔽 Логи, дампы, выгрузки забирай ниже🔽 все файлы не смотря на
GitHub (w2hack official repo)
#quiz
Наш кейс:
Три наших сервера в облаке на AWS превратились в зомби. Хакеры юзают их для:
💰 Криптоджекинга (XMRig)
☠️ DDoS-атак на корпорации
🎣 Фишинговых кампаний с легитимных IP
Ваша задача, парни:
1️⃣ Найти точку входа (как проникли?)
2️⃣ Вскрыть механизмы персистентности
3️⃣ Выявить C2-каналы
4️⃣ Обнаружить артефакты вредоносной активности (артефакты, индикаторы компрометации, следы)
Вот что у нас есть для анализа:
-
iptables-save.txt - правила фаервола -
ps-aux-snapshot.txt - замаскированные процессы -
netstat-tunap.txt - сетевые соединения -
suspicious.pcap - дамп трафика (текстовый) сrontab(root), auth.log - Индикаторы компрометации (IoC)
- Реконструкция Kill Chain (как? куда? в какой последовательности? с помощью чего?)
- Рекомендации по очистке (восстановить машины без реинтстала, бэкапов\спаншотов)
🏆 Лучший разбор получит годовую подписку на Telegram Premium
*.TXT открываются в PDF (для удобства)GitHub (w2hack official repo)
#quiz
Please open Telegram to view this post
VIEW IN TELEGRAM