Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность


Гео и язык канала: Россия, Русский
Категория: Технологии


Все самое полезное по инфобезу в одном канале.
Список наших каналов: https://t.me/proglibrary/8353
Учиться у нас: https://proglib.io/w/907158ab
Обратная связь: @proglibrary_feedback_bot
По рекламе: @proglib_adv
Прайс: @proglib_advertising


Гео и язык канала
Россия, Русский
Категория
Технологии
Статистика
Фильтр публикаций


Видео недоступно для предпросмотра
Смотреть в Telegram
🤔 Как обойти HTTP-ответ 403? Во-первых, важно изучить веб-приложение и понять, как эффективнее его фаззить. Во вторых, разобраться с пэйлоадом и точками входа.

😎 Либо можно фаззить в слепую пути и HTTP-заголовки — а некоторые инструменты помогут вам в этом (например, 4-ZERO-3).

В гайде вы найдете несколько полезных советов. Читайте на Medium, либо в PDF (файл в комментариях).

#pentest #bugbounty #gip


🔥 Простой однострочник для поиска SQL инъекций: на заметку этичному хакеру

cat subdomains.txt | httpx -silent | anew | waybackurls | gf sqli >> sqli.txt ; sqlmap -m sqli.txt -batch --random-agent --level 5 --risk 3 --dbs


#tools #bugbounty #recon


Репост из: Библиотека программиста | программирование, кодинг, разработка
🍍Подборка лучших статей «Библиотеки программиста» за февраль: сохраняй в заметки, чтобы не пропустить #самыйсок

😈 Даркнет: как устроен теневой рынок труда
🚀🏢 Стартапы vs IT-гиганты: куда лучше устроиться Junior-разработчику
🗄️ Базовые запросы SQL: получение записей из БД
🥇 Спортивная мотивация и мотивация в IT, что общего?
😺🐙💡 Как сделать креативный профиль на GitHub
🎮👨‍💻 15 игр, которые научат программированию
🧑🏻‍🏫 Менторство в IT: как стать айтишником, найти работу мечты и облегчить себе жизнь
⛩️ 6 способов нестандартно войти в Айти
❓👨‍💻 Вопросы для подготовки к собеседованию по JavaScript. Часть 2
📈 5 трендов в подборе ИТ-специалистов на 2024 год
🐍⛓ Цепи Маркова: генерирование читабельной бессмыслицы за 20 строк на Python
☕️📦 10 Java-библиотек, которые изменят твой код навсегда
🥤🛡️ Как сделать Flask-приложение неуязвимым: полное руководство по защите от хакерских атак
🐱🎨🙏🤖 10 самых странных языков программирования, о которых вы никогда не слышали

🏃 Самоучитель по Go для начинающих.
👉 Часть 6. Функции и аргументы. Области видимости. Рекурсия. Defer
👉 Часть 7. Массивы и слайсы. Append и сopy. Пакет slices
👉 Часть 8. Строки, руны, байты. Пакет strings. Хеш-таблица (map)

🐍🎸 Курс Django:
👉 Часть 2: ORM и основы работы с базами данных
👉 Портфолио разработчика


Видеогайд по пентесту API: как искать/эксплуатировать баги традиционным способом и с помощью ИИ (Hacking APIs GPT).

📺 Смотреть

#pentest #guide #bugbounty


Репост из: Библиотека программиста | программирование, кодинг, разработка
🧰 Наглядная классификация баз данных: на заметку разработчику и не только

👉 Источник

#инфографика


🧰 The HTTP Garden — коллекция HTTP- и прокси-серверов, настроенных таким образом, чтобы их можно было легко комбинировать + скрипты для взаимодействия с ними, что значительно упрощает поиск уязвимостей.

Для просмотра интересных демонстраций уязвимостей, которые можно обнаружить с помощью HTTP Garden, ознакомьтесь с выступлением авторов на ShmooCon 2024.

#pentest #bugbounty #tools


🧠 Знания — сила! Что должен изучить каждый программист?

Мы запускаем опрос среди наших читателей, чтобы выяснить, какие ключевые компетенции необходимо развивать программисту на текущий момент. Какие направления стоит изучать в первую очередь? Уровень каких знаний влияет на зарплату в отрасли?

Мы проведем анализ ответов и составим ТОП-лист навыков, которые не помешают освоить каждому программисту и разработчику для успешного карьерного роста!

👉 Пройти опрос


👩‍💻 Представлена новая версия Kali Linux 2024.1

📌 Что нового:

☑️ Много нового, касаемо внешнего оформления
☑️ Завезли поддержку Samsung Galaxy S24 Ultra и обновления для приложений NetHunter и NHTerm
☑️ В релиз вошли несколько инструментов, включая blue-hydra, opentaxii, readpe и snort
☑️ Традиционно обновили документацию и блог Kali

👉 Подробнее

#tools #pentest


🤦‍♂️ Еще 1 раз про пентест 1С

Статья представляет собой обобщение опыта других исследователей и преследует главную цель — проверить их наработки на практике и собрать получившиеся результаты в одном месте.

👉 Читать

#pentest


🧑‍💻 Статьи для IT: как объяснять и распространять значимые идеи

Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.

Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.

Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.

👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.


💬 Представьте ситуацию, что вы можете стабильно получать одинаковые деньги как в стартапе, так и в большой компании. Что бы вы выбрали?

🤩 — стартап, горящие глаза и вот это всё
👍 — большую компанию! Там можно быстрее набраться коммерческого опыта
🤔 — свой вариант (напишу в комментариях)

#холивар


🎙 Подкаст Just Security: «Из красного в синий: карьера от эксплойтов до патчей»

Сергей Зыбнев (Awillix) и Антон Лопаницын (bo0om) обсуждают направления развития и мотивацию ИБ-специалистов, успехи, нелепые провалы, смешные уязвимости и глубокую экспертизу в области трусошаренья.

Таймкоды:

00:00 Вступление
02:19 Чем знаменит bo0om
06:04 Курсы в ИБ
06:48 Работать в Blue team
11:19 Чем сегодня полезен ИИ в ИБ
14:20 Зачем безопаснику выступать и вести блог
16:45 Pentest award зачем участвовать
18:55 CTF
19:46 Отношение к премиям в других отраслях
24:42 Польза участие для пентестера
29:28 Трусы как мерч
32:40 Хакспейс и Жовнер
34:10 Выдающиеся кейсы за красную карьеру
41:42 Смешные уязвимости
44:10 Безопасно или выгодно — компромиссы бизнеса
51:30 Тренды ИБ и советы начинающим

📺 Смотреть

#podcasts


😎 Подробный разбор MavenGate, новой атаки на цепочку поставок для Java и Android-приложений

‼️Каждый Gradle-проект содержит список репозиториев, откуда необходимо выгружать зависимости. К наиболее популярным проектам относятся MavenCentral, JCentral и JitPack с Google (для Android).

Репозитории разделяются на приватные и публичные репозитории, где каждый может размещать что угодно.

‼️Список зависимостей имеет формат groupId:artifactId:version, например, com.google.code.gson:gson:2.10.1. Сборщик идет по репозиториям сверху вниз и скачивает указанную версию из первого репозитория, в котором она будет найдена.

🤔 Улавливаете суть атаки? Библиотеки, домены которых доступны для свободной регистрации, уязвимы и могут быть подменены злоумышленниками в процессе сборки приложения.

Юра Шабалин из «Стингрей Технолоджиз» разбирает примеры атаки и показывает, как от них защититься.

#mobile #pentest


🥤🛡️ Как сделать Flask-приложение неуязвимым: полное руководство по защите от хакерских атак

Лучшие практики по созданию надежного и безопасного Flask-приложения, включая защиту от XSS/CSRF и API, созданных с помощью Flask.

👉 Читать статью
👉 Зеркало


💬 Что такое juggling и почему JSON-формат способствует использованию этих багов?

📌 juggling — это особенность некоторых ЯП, при которой переменные автоматически конвертируются в другой тип (например, строковый, целочисленный, boolean) в ходе определенных операций, вместо того чтобы вызвать исключение. Например, при конкатенации строки и целого числа число будет преобразовано в строку.

🤔 Однако это может привести к проблемам, когда важно сохранить тип данных. Формат JSON способствует использованию этих багов, т. к. он изначально поддерживает широкий спектр типов данных (числа, строки, booleans, массивы, объекты и null), в то время как обычные параметры URL/тела запроса чаще всего поддерживают только строки и массивы.

#вопросы_с_собесов


💰5 наиболее распространенных багов, связанных с манипулированием ценами в веб-приложениях электронной коммерции: гайд для этичного хакера

1️⃣ Инъекция формулы: фальсификация цен
2️⃣ Инъекция формулы: изменение количества
3️⃣ Целочисленное переполнение
4️⃣ Злоупотребление купонами
5️⃣ Валютная путаница

#pentest #bugbounty


Подборка бесплатных онлайн-курсов по Linux и всему, что с ним связано:

🌐 Администрирование Linux: курс от образовательного проекта «Технотрек Mail.ru Group» при МФТИ
🌐 Разжёванный курс по Linux для чайников от Андрея Буранова
🌐 Введение в Линукс: полный курс для начинающих от FreeCodeCamp (Машинный перевод)
🌐 Базовое администрирование Linux-серверов: курс от Слёрма

#linux


🛡️ У каждого виндусоида есть защитник — и это Windows Defender. Поздравьте его 🎉


🤯 USB по почте, 13 портовых друзей Оушена, дроны как доставка точки доступа, подкуп сотрудника, атака через уязвимые драйверы и sentinel LDK от Gemalto. Как думаете, что может объединять эти атаки?

💡🏭 Это нестандартные методы проникновения в практике Red Team команд и в тактике злоумышленников, описанные командой Kaspersky ICS CERT. Читайте подробнее про атаки на крупный бизнес и промышленные предприятия, которые, казалось бы, не должны работать, а они работают.

#redteam

Показано 19 последних публикаций.