PAINtest

2023-02-18 20:14:09 Что-то грядет :) Открыть/Комментировать

2023-02-17 22:44:15 Неделю назад вышел жутко технический и крутой доклад по реверсу и анализу вредоносного ПО.
Рекомендую к изучению:
https://habr.com/ru/company/solarsecurity/blog/715926/ Открыть/Комментировать

2023-02-09 11:19:30 Опубликован рейтинг "Top 10 web hacking techniques of 2022" от PortSwigger.

На протяжении 16 лет PortSwigger публикует собственный рейтинг наиболее важных и инновационных исследований в области веб-безопасности.

В 2022 году в рейтинг вошли:
1 - Account hijacking using dirty dancing in sign-in OAuth-flows (лабы)
2 - Browser-Powered Desync Attacks: A New Frontier in HTTP Request Smuggling (лабы)
3 - Zimbra Email - Stealing Clear-Text Credentials via Memcache injection
4 - Hacking the Cloud with SAML
5 - Bypassing .NET Serialization Binders
6 - Making HTTP header injection critical via response queue poisoning
7 - Worldwide Server-side Cache Poisoning on All Akamai Edge Nodes
8 - Psychic Signatures in Java
9 - Practical client-side path-traversal attacks
10 - Exploiting Web3's Hidden Attack Surface: Universal XSS on Netlify's Next.js Library

Мастхэв к изучению для багбаунти и углубленного исследовнания веба Открыть/Комментировать

2023-01-30 22:59:54 .DS_Store
В macOS этот файл автоматически создается и содежит пользовательские параметры каталога.
Периодически данный файл встречается на различных веб-сайтах в директориях. Но несмотря на кажущуюся на первый взгляд бесполезность, иногда из него удается извлечь полезные сведения.
Отобразить его содержимое в читаемом виде поможет однострочник:
xxd -p | sed 's/00//g' | tr -d '\n' | sed 's/\([0-9A-F]\{2\}\)/0x\1 /g' | xxd -r -p | strings | sed 's/ptb[LN]ustr//g'

А в сочетании с различными байпассами 403 ошибок (как например) вообще может творить чудеса

29 viewsedited  19:59

Открыть/Комментировать

2023-01-30 22:44:39 Ещё один хакер рассказывает об интересных багах, базе пентестов, техниках и ресерчах Открыть/Комментировать