HttpNotOnly

haccer/subjack
Subdomain Takeover tool written in Go. Contribute to haccer/subjack development by creating an account on GitHub.

jesugmz/url-obfuscation
Different methods to obfuscate URLs. Contribute to jesugmz/url-obfuscation development by creating an account on GitHub.

Today, I’d like to describe a new technique we’ve come to call Reverse Clickjacking. The situation when this technique becomes useful typically arises w...

OWASP AppSecCali 2015 - Marshalling Pickles
Marshalling Pickles: how deserializing objects can ruin your day. http://frohoff.github.io/appseccali-marshalling-pickles/

My arsenal of AWS security tools
I’ve been using and collecting a list of helpful tools for AWS security. This list is about the ones that I have tried at least once and I think they are good to look at for your own benefit …

Все снапшоты попадают в рай
Сейчас все мы используем банковские приложения. Это удобно, быстро и, как нам кажется, безопасно. Банки даже ввели дополнительные pin-коды для того чтобы даже...

Practical Web Cache Poisoning
In this paper I'll show you how to compromise websites by using esoteric web features to turn their caches into exploit delivery systems

sa7mon/S3Scanner
Scan for open AWS S3 buckets and dump the contents - sa7mon/S3Scanner

[Blockchain] Tx.origin attack
Где можно допустить ошибку? При использовании перевода эфира через address.call.value(amount)() Идентификация владельца контракта через tx.origin TxOriginVictim - контракт-кошелёк pragma solidity ^0.4.18;contract TxOriginVictim {address owner;function TxOriginVictim() { owner = msg.sender;}function transferTo(address to, uint amount) public { require(tx.origin == owner); to.call.value(amount)();}function() payable public {}} TxOriginAttacker - контракт атакующего pragma solidity ^0.4.18;interface TxOriginVictim…

Web Application Firewall (WAF) Evasion Techniques
I can read your passwd file with: “/???/??t /???/??ss??”. Having fun with Sucuri WAF, ModSecurity, Paranoia Level and more…

HoLyVieR/prototype-pollution-nsec18
prototype-pollution-nsec18 - Content released at NorthSec 2018 for my talk on prototype pollution

Безопасность telegram ботов
У статьи имеется презентация по ссылке: http://infosecurity-forum.ru/files/230418/Presentations/Day2/Mosharov.pdf Для чего создаются корпоративные боты? -Создание заявок-Согласование заявок-Бронирование переговорок-Администрирование серверов ... Или проще говоря - для автоматизации любой рутины Как они создаются? -На коленке Потому что много кода и знаний не потребуется По итогу имеем кучу проблем с авторизацией, аутентификацией, предоставляем удобный интерфейс для бэкдоров и OS Commanding (последнее в случае…

irsdl/IIS-ShortName-Scanner
IIS-ShortName-Scanner - latest version of scanners for IIS short filename (8.3) disclosure vulnerability

Применение методологии OWASP Mobile TOP 10 для тестирования Android приложений
Согласно BetaNews, из 30 лучших приложений с более чем 500 000 установок 94% содержат по меньшей мере три уязвимости среднего риска, а 77% содержат хотя бы две...

Конец CSRF близок?
Пер. Под катом вас ждет перевод смешноватой и несложной статьи о CSRF и новомодном способе защиты от него. Древний змий Уязвимость CSRF или XSRF (это...