Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
Все самое полезное по инфобезу в одном канале. Список наших каналов: https://t.me/proglibrary/8353 Учиться у нас: https://proglib.io/w/907158ab Обратная связь: @proglibrary_feedback_bot По рекламе: @proglib_adv Прайс: @proglib_advertising
نمایش بیشتر11 587
مشترکین
-424 ساعت
+77 روز
+11030 روز
توزیع زمان ارسال
در حال بارگیری داده...
Find out who reads your channel
This graph will show you who besides your subscribers reads your channel and learn about other sources of traffic.
تجزیه و تحلیل انتشار
| پست ها | بازدید ها | به اشتراک گذاشته شده | ديناميک بازديد ها |
01 Попробуйте эти два варианта для улучшения поиска в #vim:
• set ignorecase — игнорирует регистр
• set smartcase — поиска со смешанным регистром
#tips | 662 | 6 | Loading... |
02 💸📊 На сколько просели зарплаты в ИТ в 2024 году?
Благодаря открытым данным с сайта Хабр Карьера мы узнали, какие основные тенденции ждать в зарплатном секторе, и сколько получают ИТ-специалисты сейчас.
🤔 Например, в первом полугодии 2023 года в среднем джунам предлагали 80 тысяч рублей, а спустя год это число упало до 72,5 тысячи рублей.
👉 Остальные данные — в статье
👉 Зеркало | 625 | 2 | Loading... |
03 🥷 Пентест gRPC: гайд для этичного хакера
Гайд поможет разобраться в том, как тестировать веб-приложения, использующие gRPC. Содержание частично пересекается с докладом автора на OFFZONE 2023, но с упором на практический пример по поиску уязвимостей на демонстрационном стенде с использованием Burp Suite и расширения prototbuf-magic.
👉 Читать
#pentest #bugbounty | 963 | 47 | Loading... |
04 💡Простой способ обхода CSRF для проверки того, отправляет ли ваша цель данные в формате JSON без anti-CSRF токена
Измените тип контента с application/json на text/plain и посмотрите, принимает ли он по-прежнему запрос 🥷
#bugbounty #tips | 1 117 | 27 | Loading... |
05 👩💻 Удалите строки, соответствующие паттерну, с помощью команды g в #vim:
• :g/pattern/d — удалить строки, соответствующие шаблону
• :g!/pattern/d — удалить строки, не соответствующие шаблону
👉 Подробнее
#tips | 1 263 | 11 | Loading... |
06 📌 Подробная шпаргалка по поиску и эксплуатации SQL-инъекций, которая должна быть в ваших закладках.
👉 Перейти к шпаргалке
#cheatsheet | 1 302 | 58 | Loading... |
07 Кстати, на этой странице доступны все доклады с киберфестиваля 2024 Positive Hack Days. Если не присутствовали, то обязательно к просмотру 🥷
👀 Смотреть | 1 427 | 39 | Loading... |
08 🔍 Вы знаете, что сбор поддоменов — ключевая часть в разведке цели. Тут, как говорится, чем больше, тем лучше. Ловите инструмент regulator, который использует регулярные выражения для обнаружения DNS. Можно использовать вместе с подобным инструментом altdns, а можно отдельно.
👉 GitHub
#recon #tools | 1 429 | 26 | Loading... |
09 👩💻 Извлеките строки из файла, выбрав их с помощью режима visual в #vim, после чего используйте команду :w path/to/file.
Затем повторно выберите последнее визуальное выделение с помощью gv и нажмите d, чтобы удалить.
👉 Подробнее
#tips | 1 371 | 8 | Loading... |
10 🔎 Поиск SSRF в приложениях NextJS
У команды Assetnote очередной крутой ресёрч. В новой статье рассматривается потенциальная возможность возникновения SSRF в приложениях NextJS из-за неправильных конфигураций.
В частности, основное внимание уделяется компоненту _next/image и демонстрируется, как злоумышленники могут использовать эти слабые места для выполнения SSRF-атак, включая подробное объяснение обхода мер безопасности и недавно обнаруженной SSRF-уязвимости, которой был присвоен CVE-2024-34351.
👉 Читать
#pentest #bugbounty | 1 312 | 21 | Loading... |
11 🎙️ Подкаст Just Security: путь исследователя
Путь исследователя на примере Павла Топоркова (Paul Axe) — независимого исследователя, докладчика на международных конференциях, участника одной из сильнейших мировых команд CTF, автора o-day уязвимостей в Siemens, Redis, OpenStack и других продуктах.
⏱️ Таймкоды:
00:00 — Бэкграунд Павла
2:40 — Сложные кейсы Павла
6:10 — CTF
6:13 — Как CTF помогли начать карьеру
13:29 — Как определить свой вектор развития
16:50 — Ресерчи, которые вдохновляют
20:37 — Что драйвит в работе
23:17 — Команда CTF в которой играет Павел
29:42 — Как опыт CTF помогает в работе и поиске тем для исследований
36:10 — Практический опыт нестандартных эксплуатаций
37:41 — Почему Павел не багхантер, хотя багхантил
42:05 — Исследование OpenStack
46:00 — Сериализация и десериализация
51:40 — Доклад oPWNstack
53:47 — Когда ИИ заменит ИБ-специалистов
1:01:00 — Как стать таким же крутым Paul Axe
1:06:00 — Выгорание
1:09:00 — Отличия зарубежного и российского ИБ
1:18:00 — Сертификация специалистов
⏯ Youtube | VK | Яндекс Музыка | Apple podcast
#podcast #pentest #bugbounty #podcasts | 1 362 | 25 | Loading... |
12 💬 Хакеры, а вы пользуетесь сканерами уязвимостей? Если да, то какими (неважно, автоматическими или ручными)?👇
#обменопытом | 1 501 | 4 | Loading... |
13 🤑 $28 000 за 0-day, который помог найти ChatGPT
🧀 В чем сыр-бор? Исследователь из PT SWARM выявил, что помимо XML современные браузеры поддерживают еще много форматов, включая старый добрый XSL. О том, что там тоже можно объявлять внешние сущности любезно напомнил ChatGPT. Дальше — дело техники.
<xsl:copy-of select="document('file:///etc/passwd')"/>
👉 Подробнее о баге с пруфами и другими деталями читайте в статье автора
#writeup #pentest #bugbounty | 2 101 | 30 | Loading... |
14 👩💻 Более эффективная навигация в #vim с помощью переходов:
⌨ ctrl-o перемещается назад по списку переходов
⌨ ctrl-i перемещается вперед по списку переходов
#tips | 1 685 | 12 | Loading... |
15 ⚡️Proglib запускает канал про ИИ для генерации звука
Там мы будем рассказывать про все существующие нейросети, которые генерируют музыку и голос — с пошаговыми инструкциями, инструментами и лайфхаками.
⭐️генерация голоса и музыки
⭐️замена и перевод речи
⭐️распознавание звуков
👉Подписывайтесь! | 1 566 | 3 | Loading... |
16 🎙️ Подкаст Just Security: безопасность мобильных приложений
Подкаст с Юрием Шабалиным, гендиром Стингрей Технолоджиз и ex-ведущим архитектором Swordfish Security, в котором вас ждет своего рода собрание информации и полезных ссылок про безопасность мобильных приложений на просторах рунета.
⏱️ Таймкоды:
00:00 — Вступление
03:57 — Бэкграунд Юры
06:54 — Почему мобилки
09:36 — Почему все забивают на мобилки
11:16 — Приложения это не отображение серверной части, а отдельная сложная система
17:10 — Зачем проверять приложение, если его проверяют сторы
22:02 — Приложение, как точка входа в инфраструктуру
27:19 — OWASP Mobile Top 10
29:01 — Модель злоумышленника для мобилок
33:45 — Репорт Bug Bounty
39:13 — Bug Bounty Samsung
41:47 — На каком этапе разработки нужно проверять безопасность приложения
44:30 — Как проверить реализацию биометрии
47:20 — Уязвимость навигации
50:54 — Атака на репозитории Java пакетов
1:00:30 — Документы и лучшие практики
1:08:00 — Инструмент Юры
1:26:00 — Вход в анализ защищенности мобильных приложений
1:33:40 — Стажировка
1:35:00 — Безопасность при разработке приложений
1:45:51 — Хранение персональных данных в открытом виде на мобильном устройстве
1:48:57 — Мобильные приложения очень мобильные
1:51:00 — Советы для специалистов и бизнеса
⏯ Youtube | VK | Яндекс Музыка | Apple podcast
#podcast #pentest #bugbounty | 1 560 | 21 | Loading... |
17 🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса. | 1 416 | 4 | Loading... |
18 🤔 Представьте, что вы нашли DOM XSS, и ваша цель использует современную JavaScript библиотеку/фреймворк?
🤑 Скорее всего, сессионный токен сохранен в локальном хранилище вашего браузера и может помочь вам добиться захвата учетной записи👇
🔹 Вы знаете, что большинство сайтов защищают конфиденциальные файлы cookie с помощью флага HTTP Only, чтобы предотвратить доступ к ним со стороны клиентских скриптов (например, JavaScript).
🔹 Однако разработчикам, использующим JS-фреймворки, часто приходится отправлять данные обратно с защищенным токеном в API.
🔹 Это требование заставляет их хранить его в локальном хранилище вашего браузера.
🔹 Таким образом, вы можете легко получить к нему доступ с помощью JS и пересылать его в аутентифицированных запросах.
🔹 Это также означает, что вы также можете извлечь конфиденциальный токен, если обнаружите DOM XSS в том же домене 🤷♂️
P. S. Пример на скрине. Не забывайте всегда проверять локальное и сессионное хранилище вашего браузера на случай, если они тоже там хранятся!
#tips #bugbounty | 1 445 | 16 | Loading... |
19 🤠 Подборка для этичного хакера
📦 HTB Rebound: проводим сложную атаку на Active Directory
📦 HTB Codify: выходим из песочницы vm2
📦 HTB Hospital: получаем доступ к хосту через уязвимость Ghostscript
📦 HTB Surveillance: эксплуатируем инъекцию команд через скрипт ZoneMinder
📦 HTB Devvortex: повышаем привилегии через уязвимость в Apport
📦 HTB Napper: реверсим приложение на Go и пишем декриптор при помощи ChatGPT
📦 HTB Monitored: получаем доступ в систему через Nagios XI
📦 HTB Ouija: повышаем привилегии через бинарную уязвимость целочисленного переполнения
📌 Задачи на тему «Цифровая криминалистика и реагирование на инциденты» (Digital Forensics and Incident Response, DFIR)
🔎 HTB Sherlock: Brutus
🔎 HTB Sherlock: Unit42
🔎 HTB Sherlock: BFT
🔎 HTB Sherlock: Subatomic
🔎 HTB Sherlock: Meerkat
🔎 HTB Sherlock: Einladen
🔎 HTB Sherlock: Logjammer
#writeup #pentest #чтопроисходит | 1 475 | 41 | Loading... |
20 Курс для BlueTeam “Реагирование на компьютерные инциденты” стартует 3 июня.
🛡Куратор курса — специалист по РКИ с 5-летним стажем.
ЧТО ВНУТРИ:
- Сбор необходимых материалов с Linux и Windows систем, в том числе дампов памяти
- Анализ записей журналов безопасности и артефактов ВПО
- Реагирование на основе данных из SIEM
- Анализ вредоносных программ
- Оптимизация процесса реагирования на инциденты
- Написание правил для обнаружения ВПО
- Threat Intelligence & Threat Hunting
ВЫ ПОЛУЧИТЕ:
- практические навыки в рабочих задачах РКИ
- уверенность в штатном функционировании систем
- сопровождение и поддержку Академии Кодебай
- сертификат/удостоверение о повышении квалификации
- возможности трудоустройства/стажировки
ЧТО ЗА АКАДЕМИЯ КОДЕБАЙ?
🥇 The Codeby, топ-1 команда по этичному хакингу, пятикратный чемпион the Standoff 2019 — 2023
🤝 Крупнейшее сообщество и форум по информационной безопасности с 2003
Пишите нам @Codeby_Academy
или звоните +74994441750 | 1 147 | 3 | Loading... |
21 👩💻 Знаете ли вы, что #vim умеет читать и редактировать Zip и другие архивы прямо из коробки?
Работает с gzip, tar и даже с файлами, использующими Zip, такими как xlsx и docx!
👉 Подробнее
#tips | 1 670 | 22 | Loading... |
22 🔎 Ищете инструмент, который может найти уязвимости, связанные с путаницей зависимостей (dependency confusion)?
🔫 confused — инструмент для проверки на наличие таких уязвимостей в нескольких системах управления пакетами, включая Python (pypi) requirements.txt, JavaScript (npm) package.json, PHP (composer) composer.json и MVN (maven) pom.xml.
👉 GitHub & Райтап по теме
#bugbounty #pentest #tools | 1 790 | 15 | Loading... |
23 🍏 Взлом Apple — SQL-инъекция для удаленного выполнения кода
В начале года команда Project Discovery углубилась во внутреннюю работу Lucee и взглянула на исходники Masa/Mura CMS. Стало очевидно, что время, потраченное на понимание кода, может окупиться. Исследователям удалось найти несколько точек входа для использования, включая SQL-инъекцию на Apple Book Travel.
Под катом — статья о взломе Apple через SQL-инъекцию, которая привела к RCE.
👉 Читать | 1 949 | 15 | Loading... |
24 👩💻 Любите Linux, но не можете выбрать подходящий дистрибутив? Ловите веб-ресурс, где можно прямо в браузере протестировать работу разных дистрибутивов Linux без смс, регистрации и установки, да хоть с тебефона 😉
👉 Тест-драйв дистрибутивов Linux онлайн
#linux | 1 897 | 74 | Loading... |
25 👩💻 Замените несколько файлов в #vim без каких-либо плагинов:
:args path/*
:argdo %s/some/sub/g
:argdo update
#tips | 1 759 | 8 | Loading... |
26 👹 Монстры в вашем кэше сборки — GitHub Actions Cache Poisoning
Вы любите копаться в сложных многоэтажных багах? Тогда этот райтап для вас. Автор описывает технику повышения привилегий GitHub Actions и lateral movement, которую он назвал "Actions Cache Blasting".
👉 Читать | 1 929 | 15 | Loading... |
27 ⭐🎤 Как не облажаться с докладом на IT-конференции
Готовитесь к докладу на IT-конференции? Не хотите оказаться в роли «того самого» докладчика, на которого все жалуются в кулуарах? Узнайте, как не облажаться и сделать свой доклад полезным и запоминающимся.
🔗 Читать статью
🔗 Зеркало | 24 461 | 99 | Loading... |
28 ⚒️ Misconfig Mapper — новый проект команды Intigriti, который представляет из себя простой инструмент для проверки неправильных настроек популярных сервисов и фреймворков (Atlassian, Jenkins, GitLab, PHP Laravel и т. д.).
Есть сходства с Nuclei, потому что он тоже использует шаблоны. Вы можете добавить свои или модифицировать существующие.
👉 Анонс & Видеогайд & GitHub
#tools #pentest #bugbounty | 2 045 | 29 | Loading... |
29 🤠 Команда Positive Education продолжает серию публикаций о профессиях в сфере кибербезопасности
С професссией «Аналитик SOC»знакомит Иван Дьячков, который когда-то стал одним из первых сотрудников команды SOC в Positive Technologies, а сейчас является руководителем центра мониторинга ИБ в Wildberries.
#soc #career | 1 895 | 16 | Loading... |
30 👩💻 Прокрутите два разделенных окна одновременно в #vim с помощью
:set scrollbind
или переключитесь с помощью
:set scb!
💡 Полезно для сравнения двух файлов.
👉 Подробнее
#tips | 1 957 | 18 | Loading... |
31 МТС RED ведёт телеграм-канал про кибербезопасность на простом и понятном языке. Представители бизнеса и обычные пользователи найдут там много полезных рекомендаций, которые помогут разобраться в этой нелёгкой теме.
Узнайте:
+ почему важно быть киберграмотным;
+ что такое тест на проникновение;
+ что общего у ведьмака и специалиста по кибербезопасности.
Подписывайтесь и следите за кибербезопасностью. | 1 144 | 5 | Loading... |
32 💸 Самые высокооплачиваемые специализации в области разработки софта: выжимка из статьи, составленной на основе данных портала level.fyi
🔝 Топ-5 самых высокооплачиваемых специализаций: VR/AR, машинное обучение, распределенные системы, безопасность и блокчейн.
💪 Важность основных навыков: для всех инженеров и разрабов критически важно сначала овладеть основным набором навыков. Работодатели ценят твердую основу в фундаментальных навыках разработки ПО, прежде чем кандидаты уходят в конкретное направление.
👉 Подробнее | 1 765 | 13 | Loading... |
33 Так-то security в лидерах 💸👇 | 1 792 | 0 | Loading... |
34 👩💻 Ваш коллега-фронтендер изучил AngularJS и переписал приложение на популярный JS-фреймворк. Теперь он уверен, что онприложение не подвержено XSS... 😎
🤔 Но что-то все равно не так, не так ли?
#вопросы_для_самопроверки | 2 095 | 3 | Loading... |
00:11
Video unavailableShow in Telegram
Попробуйте эти два варианта для улучшения поиска в #vim:
• set ignorecase — игнорирует регистр
• set smartcase — поиска со смешанным регистром
#tips
🔥 4
Repost from Библиотека data scientist’а | Data Science, Machine learning, анализ данных, машинное обучение
Photo unavailableShow in Telegram
💸📊 На сколько просели зарплаты в ИТ в 2024 году?
Благодаря открытым данным с сайта Хабр Карьера мы узнали, какие основные тенденции ждать в зарплатном секторе, и сколько получают ИТ-специалисты сейчас.
🤔 Например, в первом полугодии 2023 года в среднем джунам предлагали 80 тысяч рублей, а спустя год это число упало до 72,5 тысячи рублей.
👉 Остальные данные — в статье
👉 Зеркало
Photo unavailableShow in Telegram
🥷 Пентест gRPC: гайд для этичного хакера
Гайд поможет разобраться в том, как тестировать веб-приложения, использующие gRPC. Содержание частично пересекается с докладом автора на OFFZONE 2023, но с упором на практический пример по поиску уязвимостей на демонстрационном стенде с использованием Burp Suite и расширения prototbuf-magic.
👉 Читать
#pentest #bugbounty
Photo unavailableShow in Telegram
💡Простой способ обхода CSRF для проверки того, отправляет ли ваша цель данные в формате JSON без anti-CSRF токена
Измените тип контента с application/json на text/plain и посмотрите, принимает ли он по-прежнему запрос 🥷
#bugbounty #tips
👍 3🔥 2
00:14
Video unavailableShow in Telegram
👩💻 Удалите строки, соответствующие паттерну, с помощью команды
g в #vim:
• :g/pattern/d — удалить строки, соответствующие шаблону
• :g!/pattern/d — удалить строки, не соответствующие шаблону
👉 Подробнее
#tips🔥 10👍 4
📌 Подробная шпаргалка по поиску и эксплуатации SQL-инъекций, которая должна быть в ваших закладках.
👉 Перейти к шпаргалке
#cheatsheet
👍 5🔥 1
Кстати, на этой странице доступны все доклады с киберфестиваля 2024 Positive Hack Days. Если не присутствовали, то обязательно к просмотру 🥷
👀 Смотреть
Positive Hack Days
Международный фестиваль по кибербезопасности для всех, кто хочет погрузиться в мир кибербеза и круто провести время
👾 1
00:11
Video unavailableShow in Telegram
👩💻 Извлеките строки из файла, выбрав их с помощью режима visual в #vim, после чего используйте команду
:w path/to/file.
Затем повторно выберите последнее визуальное выделение с помощью gv и нажмите d, чтобы удалить.
👉 Подробнее
#tips🥰 3🔥 2
Photo unavailableShow in Telegram
🔎 Поиск SSRF в приложениях NextJS
У команды Assetnote очередной крутой ресёрч. В новой статье рассматривается потенциальная возможность возникновения SSRF в приложениях NextJS из-за неправильных конфигураций.
В частности, основное внимание уделяется компоненту
_next/image и демонстрируется, как злоумышленники могут использовать эти слабые места для выполнения SSRF-атак, включая подробное объяснение обхода мер безопасности и недавно обнаруженной SSRF-уязвимости, которой был присвоен CVE-2024-34351.
👉 Читать
#pentest #bugbounty