Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность

2021-02-02 12:10:06 #pentest #bugbounty #security #owasp

Видеозаписи докладов с конференции Digital OWASP AppSec Israel 2020, на которой освящались различные аспекты ИБ, в том числе практические методы поиска ошибок в API GraphQL, мутации XSS, взлом Android, CSP, условия гонки, веб-фаззинг, хранилище браузера и т. д.

https://proglib.io/w/6675decc Открыть/Комментировать

2021-02-01 21:53:37 #pentest

Две удивительные истории про взлом инфраструктуры РЖД, о прочтении которых вы не пожалеете:

Самый беззащитный — это Сапсан
Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже… Открыть/Комментировать

2021-01-31 19:56:26 Какие медиа Вы читаете?

Пройдите короткий опрос и получите промокод 5% на все курсы Библиотеки программиста!

https://docs.google.com/forms/d/e/1FAIpQLSd3389cZTNhrnifV_5JaQuKVXzUFykk74Y-pK7jVioqlrV3lQ/viewform

Опрос займет всего пару минут Открыть/Комментировать

2021-01-31 12:00:37 #security

Разбор основных видов уязвимостей и инструментов для аудита безопасности веб-приложений.

https://proglib.io/sh/vMrpmeVyBR Открыть/Комментировать

2021-01-30 22:09:06 #tools #bugbounty #pentest #redteam

PayloadsAllTheThings — один из самых популярных списков полезных нагрузок для решения CTF, баг хантинга и пентеста веб-приложений. Тут вам подборка векторов атак для популярных уязвимостей, различные пэйлоады, ссылки на разборы / руководства и вообще много полезного.

https://proglib.io/w/f2c418b9 Открыть/Комментировать

2021-01-29 21:53:15 #pentest #bugbounty

Если вы используете ExpressJs (веб-фреймворк для приложений Node.js) с Handlebars в качестве механизма шаблонов, вызываемого через hbs, для рендеринга на стороне сервера, ваше приложение, вероятно, подвержено уязвимости чтения произвольных файлов и потенциального удаленного выполнения кода.

https://proglib.io/w/40586702 Открыть/Комментировать

2021-01-28 19:12:13 #security #dev

Серия статей о безопасности фронтенда:

- npm-audit и целостность скриптов
- Политика безопасности контента
- Безопасность заголовков сервера Открыть/Комментировать

2021-01-27 10:01:07 ​#humor

Режим Bug Bounty Открыть/Комментировать

2021-01-26 22:22:16 #pentest #practice

Протокол авторизации OAuth 2.0 (оф. документация) позволяет приложениям осуществлять ограниченный доступ к пользовательским аккаунтам на HTTP-сервисах.

Он работает по принципу делегирования аутентификации пользователя сервису, на котором находится аккаунт пользователя, позволяя стороннему приложению получать доступ к аккаунту пользователя. OAuth 2.0 работает в вебе, на десктопных и мобильных приложениях.

Данный протокол интересен для пентестеров, поскольку он чрезвычайно распространен и по своей природе подвержен ошибкам при реализации. Это может привести к ряду уязвимостей, позволяющих получать конфиденциальные данные пользователя и потенциально полностью обходить аутентификацию.

В сегодняшнем материале подробно описаны некоторые ключевые уязвимости, обнаруженные в механизмах аутентификации OAuth 2.0, а также представлены некоторые рекомендации по защите приложений от таких атак. В лучших традициях PortSwigger материал сопровождается практическими заданиями.

https://proglib.io/w/6f738c30

Про OAuth 2.0 простым и понятным языком на Хабре Открыть/Комментировать

2021-01-25 10:00:13 #pentest #roadmap

Дорожная карта для начинающих пентестеров

Данное руководство представляет собой собрание хакерских инструментов, ресурсов и справочников по практике этичного взлома и веб-безопасности. Оно начинается с важных предостерегающих советов, затем идут некоторые определения и непосредственно ссылки на образовательные ресурсы и инструменты.

https://proglib.io/w/fd2190f5 Открыть/Комментировать