| Date | Title | Description |
| 01.09.2024 | Снифферы трафика в мобильном тестировании: Обзор инструментов и их особенности | Можно заметить, что инструменты сниффинга трафика незаменимы в мобильном тестировании, предоставляя возможность оперативно и грамотно подходить к исследованиям сетевых взаимодействий, осуществляемых приложениями. К числу таких инструментов,... |
| 29.07.2024 | The Cybersecurity Battlefield: Insights from Student Hackers and Ransomware Evolution | In the digital age, cybersecurity is the new frontier. It’s a battlefield where the stakes are high, and the players are diverse. From student hackers testing their skills in competitions to sophisticated ransomware groups targeting corpora... |
| 28.07.2024 | Студенческий опыт Standoff — на шаг ближе к вершинам | Привет, Хабр! На связи лаборатория кибербезопасности AP Security и сегодня наши стажёры делятся своим важным профессиональным опытом.
Каждый, кто хотя бы немного знаком со сферой ИБ или краем уха слышал про Positive Hack Days, припоминает б... |
| 27.07.2024 | Wildberries Boosts Bug Bounty Rewards: A New Era for Cybersecurity Enthusiasts | In the digital landscape, vulnerabilities lurk like shadows. Companies are increasingly aware of the need to illuminate these dark corners. Wildberries, a major player in the Russian e-commerce scene, has taken a bold step. They are doublin... |
| 20.07.2024 | Место забавных ситуаций в жизни или сертификация у PT | Забавная по сути своей ситуация получилась при работе с Positive Technologies. Согласно требованиям партнерских программ, я проходил необходимые сертификации на их сайте edu.ptsecurity.com и по старой доброй привычке решил просмотреть тела ... |
| 10.07.2024 | Brighton Park Capital Investing $112 Million In PortSwigger | Brighton Park Capital, an investment firm focused on entrepreneur-led, growth-stage companies within the software, healthcare, and tech-enabled services businesses space, announced a $112 million investment in PortSwigger – which is a renow... |
| 09.07.2024 | Зачем искать поверхность атаки для своего проекта | Любые программные системы включают в себя нужные и не очень нужные пакеты. Получается огромный объём кода (для одного несложного сайта npm list -a выдаёт список из 4256 зависимостей). А так как «весь код — это ваш код», то такие зависимости... |
| 28.06.2024 | PortSwigger: Securing the Web, One Byte at a Time | PortSwigger, a UK-based cybersecurity company, recently secured a hefty sum of funding to bolster its efforts in the web security space. With €104.7 million from Brighton Park Capital, the company is set to double down on its mission to pro... |
| 27.06.2024 | UK-based PortSwigger raises €104.7 million to double down in the web security space | Cheshire-based PortSwigger, an application security software provider, announced it has raised €104.7 million from Brighton Park Capital, an investment firm focused on entrepreneur-led, growth-stage companies within the software, healthcare... |
| 27.06.2024 | Vulnerability detection provider PortSwigger raises $112M
Your vote of support is important to us and it helps us keep the content FREE.
One click below supports our mission to provide free, deep, and... | PortSwigger Ltd., the company behind one of the industry’s most popular cybersecurity testing tools, today disclosed that it has raised $112 million in funding.
The capital was provided by private equity firm Brighton Park Capital. It marks... |
| 24.06.2024 | XSS в Sappy (частичный writeup) | Введение
Недавно прошел Google CTF, после которого были выложены исходные коды и exploit'ы к заданиям.
В этой статье я хотел бы подробнее рассмотреть web task с недавно прошедшего Google CTF, который называется "Sappy".
На момент ... |
| 20.06.2024 | Сравнение зарубежных и отечественных площадок для белых хакеров по сложности | Привет, Хабр! Продолжая “рекламную кампанию” информационной безопасности для заинтересовавшихся, хочу затронуть тему площадок для Также их называют белыми хакерами." data-abbr="этичных">этичных хакеров (и не только для них... |
| 18.06.2024 | CTF — для начинающих | Как начать играть в CTF? Что почитать? Чему можно будет научиться? CTF
Capture The Flag (CTF) – это не просто развлечение, а настоящие спортивные состязания по «спортивному хакингу». Участникам предлагаются задачи, где нужно найти и использ... |
| 13.06.2024 | Осваиваем DOM Invader: ищем DOM XSS и Prototype Pollution на примере пяти лабораторных и одной уязвимости на Хабре | Привет, Хабр! Сегодня мы познакомимся с DOM XSS и Prototype Pollution, рассмотрим примеры уязвимостей на Bug Bounty и научимся использовать инструмент DOM Invader, который заметно упростит поиск таких уязвимостей.
Материал будет интересен с... |
| 10.06.2024 | Анализируем HTTP трафик в Wireshark | Анализатор пакетов Wireshark является одним из основных инструментов, используемых как сетевыми инженерами и администраторами, так и разработчиками и тестировщиками приложений для решения проблем с сетевыми протоколами.
При этом, не все уме... |
| 15.05.2024 | Что такое WAF и как с ним работать? Показываем на примере уязвимого веб-приложения | Информационная безопасность веб-приложений за последние несколько лет стала, наверное, одним из ключевых вопросов в IT. Для компаний стабильность работы систем — это репутация и отсутствие лишних издержек. Ежегодная статистика больших ИБ-ко... |
| 14.05.2024 | Методы расшифровки трафика | Добрый день, дорогие читатели Хабра!
Мы команда специалистов из компании ПМ. Довольно часто к нам приходят заказы на анализ защищенности или тестирование на проникновение веб-ресурсов. Первоначальным этапом при проведении работ является раз... |
| 03.05.2024 | Безопасность веб-приложений для самых маленьких фронтов | С первого взгляда кажется, что безопасность - это тема devops-а или бэкенда. Но разделить зоны ответственности в этом вопросе очень сложно. В этой статье я хотел бы поговорить о моментах, связанных именно с фронтендом - т.е. об атаках, кото... |
| 29.04.2024 | Раскрываем секретные функции: магия макросов в Burp Suite | Привет! Если ты думаешь, что знаешь всё о Burp Suite, я тебя удивлю! Этот мощный инструмент для тестирования веб-приложений скрывает в себе ещё больше возможностей, способных значительно упростить и ускорить работу. Сегодня мы изучим функци... |
| 12.04.2024 | Безопасная разработка: обзор основных инструментов | Привет! Меня зовут Иван, я инженер по кибербезопасности в достаточно крупной компании и автор курса «Специалист по информационной безопасности: веб-пентест». В этой сфере я уже около шести лет.
Сейчас занимаюсь тестированием безопасности пр... |
| 04.04.2024 | BSCP — разгадываем тайны сертификации от академии PortSwigger | Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от ... |
| 03.04.2024 | Игра в безопасность Android-приложений | Давайте в общих чертах рассмотрим вопросы взлома и защиты Android-приложений.
В рамках статьи нас интересуют сами процессы взлома и защиты, а не конкретные методики работы с конкретными инструментами. Поэтому разберёмся с этими процессами и... |
| 02.04.2024 | Красавица и HTML Injection. Почему HTMLi не только про дефейс | Привет, Хабр. Сегодня мы посмотрим на достаточно тривиальную тему с совсем нетривиальной стороны. Пожалуй, для каждого вебера HTML-инъекции являются темой, которой зачастую уделяют не очень много внимания. Взять даже собеседования: когда в ... |
| 22.03.2024 | Tinkoff CTF 2024: разбор демозадания | В апреле пройдет второй Tinkoff CTF для ИТ-специалистов. В этой статье мы рассказываем о соревновании и разбираем одно из демозаданий CTF. Статья поможет лучше подготовиться, даже если вы никогда не участвовали в подобных мероприятиях.
Если... |
| 19.03.2024 | Перехват трафика мобильных приложений | Часто случается так что на необходимом сайте установлена защита от ботов. Например: QRATOR, Cloudflare, Akamai Bot Manager и пр. Можно потратить множество ресурсов на обход этих систем, но если у вашего ресурса есть мобильное приложение, то... |
| 09.03.2024 | Цифровой цейтнот: почему свежие ИБ-законопроекты не находят широкой поддержки — примеры и мнения | В мире растет число кибератак, и правительства отдельных стран принимают меры по противодействию злоумышленникам. Некоторые инициативы выглядят довольно строгими. Так, индийский регулятор обязал пострадавшие от хакерских атак компании предо... |
| 01.03.2024 | Аутентификация для WebSocket и SSE: до сих пор нет стандарта? | WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSo... |
| 27.02.2024 | Исследование безопасности десктопных приложений на основе Electron
Инструменты и методы анализа
Особенности ручного тестирования приложений на основе Electron
Виды атак и примеры эксплуатации уязвимос... | Electron — фреймворк с открытым исходном кодом для создания кросс-платформенных десктопных приложений с помощью JavaScript, HTML и CSS. Это крутая технология, но с ней связаны многие ИБ-риски.
В статье я разберу основы безопасной работы с э... |
| 21.02.2024 | Standoff 365. Самое красивое недопустимое событие в деталях | Изображение сгенерировано ботом Kandinsky (https://t.me/kandinsky21_bot)
Привет, Хабр. Меня зовут Виктор, я работаю в компании «Инфосистемы Джет» пентестером и активно играю на киберполигоне Standoff 365 под ником VeeZy. Сегодня я хочу поде... |
| 02.02.2024 | Ладья на XSS: как я хакнул chess.com детским эксплойтом | Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается ... |
| 23.01.2024 | Эксплуатируем уязвимость внедрения шаблонов на стороне сервера в обход песочницы | Привет, Хабр, на связи лаборатория кибербезопасности компании AP Security! Сегодня речь пойдет о том, как можно использовать уязвимость внедрения шаблонов на стороне сервера (SSTI), когда сервер жертвы находится в изолированной среде (песоч... |
| 05.01.2024 | Ivanti warns of critical vulnerability in its popular line of endpoint protection software | Enlarge reader comments 20
Software maker Ivanti is urging users of its end-point security product to patch a critical vulnerability that makes it possible for unauthenticated attackers to execute malicious code inside affected networks.
Th... |
| 25.12.2023 | Загрязненный — значит опасный: про уязвимость Prototype Pollution | Prototype Pollution (CVE-2023-45811, CVE-2023-38894, CVE-2019-10744) — не новая брешь, вы уже наверняка читали про нее и на Хабре, и на PortSwigger, и даже в научных журналах, но есть нюанс. Несмотря на большое количество публикаций, некото... |
| 14.12.2023 | Кибер-соревнования для начинающих этичных хакеров | Привет, Хабр, Давно не виделись! Я - Никита, студент Бонча и инженер в «Газинформсервис» (подробнее обо мне в этой статье). Предлагаю немного ближе познакомиться c миром ИБ, а именно кибер-соревнованиями. В этом материале кратко расскажу ка... |
| 08.12.2023 | Безопасность Supply Chain. Глава 2: как злонамеренные библиотеки проникают в проект и как этому помешать | Bob: Alice, ты в прошлый раз меня убедила, что мне необходимо проверить свои сторонние зависимости в проекте на риски атак через цепочку поставок (Supply Chain). По итогу уже нашлось три подозрительные библиотеки. Я вообще не понимаю, как о... |
| 29.11.2023 | «Синее» возрождение: как blue team завоевать популярность | Привет, Хабр! На связи Макар Ляхнов, аналитик по информационной безопасности в Innostage. Я киберзащитник-специалист, чью профессию пока трудно назвать популярной. А для чего, казалось бы, выбирать защиту, когда есть все это веселье со взло... |
| 23.11.2023 | Как начать карьеру в пентесте: опыт сотрудника Angara Security | Мы продолжаем цикл материалов о старте карьеры в кибербезопасности.
Этот материал подготовил сотрудник отдела анализа защищенности Angara Security, по просьбе автора, мы не будем раскрывать его имя. Если после прочтения статьи будут вопросы... |
| 17.11.2023 | Пентест: суровая реальность, которая распадает мечты новичков | В последние годы пентестинг (проверка на проникновение) продолжает набирать популярность среди молодых специалистов в области информационной безопасности. Множество статей, книг и видеоматериалов предлагают искусственную и романтизированную... |
| 15.11.2023 | Пентесты: готовим рабочее окружение для атаки | Веб-пентест — это специализированная процедура, в ходе которой специалисты по кибербезопасности активно ищут и эксплуатируют уязвимости веб-системы. Цель такой симулированной атаки — выявить слабые звенья системы безопасности, которые могут... |
| 14.11.2023 | Импортозамещение сканеров web-уязвимостей: обзор актуальных DAST-решений8 | Привет, Хабр!
Поговорим о проблеме выбора DAST, который бы смог удовлетворить потребности регулярного поиска уязвимостей в web-инфраструктуре компании. Опытные пентестеры, специализирующиеся на web-приложениях, наверняка возразят: какой тут... |
| 12.10.2023 | Оса не проскочит: разбираемся в методиках тестирования и сравнения ̶ а̶н̶т̶и̶м̶о̶с̶к̶и̶т̶н̶ы̶х̶ ̶с̶е̶т̶о̶к̶ WAF... | Использование WAF для защиты веб-приложений и API уже давно стало необходимостью. И дело тут не только в требованиях регуляторов (152-ФЗ и 187-ФЗ, PCI DSS), но и в здравом смысле, стоит хотя бы посмотреть на количество взломов и утечек за п... |
| 28.09.2023 | Небезопасная многопоточность или Race Condition | Как я и люблю - мы начнем с условных основ и будем двигаться постепенно всё глубже и глубже. Ближе к концу разберём, как эксплуатировать. При написании статьи было использовано много разных источников. К чему это? А к тому, что я начну со с... |
| 01.09.2023 | Взлом EPP-серверов для перехвата управления доменными зонами | В течение нескольких последних десятилетий интернет выстраивался на основе спецификаций и протоколов, которые со временем нередко забывались. Проводимые нами исследования зачастую акцентировались на наиболее часто атакуемых целях (подробнее... |
| 31.08.2023 | Как начать заниматься багхантингом веб-приложений. Часть 3 | В предыдущих статьях (первая, вторая) мы рассматривали несколько типов уязвимостей на примерах устаревших версий реального программного обеспечения, рассказывали о базовом инструментарии при занятии багхантингом, о багбаунти-программах, их ... |
| 13.07.2023 | FVWA (Flask Vulnerable Web Application) | Дорогие друзья, добро пожаловать в нашу веб-лабораторию! Мы создали эту лабораторию с одной целью — помочь начинающим ИБ-специалистам ознакомиться с основными уязвимостяии в веб-приложениях.
Приложение содержит несколько заданий, в каждом и... |
| 27.06.2023 | Место QA в тестировании продукта на безопасность | Привет, меня зовут Дмитрий Крылатков, работаю QA-инженером в компании Doubletapp. Я всегда был заинтересован темой тестирования на безопасность, участвую в bug-bounty программах, а также поднимаю осведомленность о существующих уязвимостях с... |
| 19.06.2023 | Как устроен CTF: соревнование, где каждый может побыть хакером | Совсем скоро пройдет IT’s Tinkoff CTF для ИТ-специалистов. У нас уже готов сайт, где вы можете узнать подробности и зарегистрироваться, но это еще не все. Для тех, кто пока не знаком с таким форматом соревнований, мы подготовили эту статью.... |
| 06.06.2023 | Mass exploitation of critical MOVEit flaw is ransacking orgs big and small | Enlarge
Getty Images reader comments 48 with
Organizations big and small are falling prey to the mass exploitation of a critical vulnerability in a widely used file-transfer program. The exploitation started over the Memorial Day holiday—wh... |
| 01.06.2023 | Как превратить DevOps-пайплайн в DevSecOps-пайплайн. Обзор концепции Shift Left | Привет, Хабр! Меня зовут Алексей Колосков, я DevOps/Cloud-инженер в Hilbert Team. Вместе с моим коллегой Михаилом Кажемским в этой статье мы расскажем об особенностях DevSecOps-пайплайна и концепции Shift Left. Вы узнаете об основных этапах... |
| 31.05.2023 | Расщепляем AI Test Kitchen на молекулы и подключаемся к Imagen | Одним прекрасным днём я решил посмотреть, какие запросы отправляет мобильное Google-приложение AI Test Kitchen и наткнулся на пока-что рабочий API закрытой нейросети для генерации изображений Imagen.
Делюсь тем, как я это обнаружил, что еще... |
| 17.05.2023 | Burp Suite — сканирование веб-приложений на основе JWT | Привет, Хабр! Снова с вами те, кто отчитываются, что в вашем приложении не хватает заголовков безопасности, а именно инженеры по динамическому анализу. В нашей прошлой статье мы описали плагин для OWASP ZAP, упрощающий авторизацию на основе... |
| 27.04.2023 | Tenable report shows how generative AI is changing security research | Join top executives in San Francisco on July 11-12, to hear how leaders are integrating and optimizing AI investments for success. Learn More
Today, vulnerability management provider Tenable published a new report demonstrating how its rese... |
| 17.04.2023 | Как багхантеру искать XSS-уязвимости через наложение парсеров: исследование Positive Technologies | Привет, Хабр! Меня зовут Игорь Сак-Саковский, и я уже семь лет занимаюсь безопасностью веб-приложений в команде PT SWARM в компании Positive Technologies. В этой статье расскажу о моем недавнем исследовании, которое вошло в топ-10 методов в... |
| 31.03.2023 | Дуалистическая природа Param Miner. Часть 1. Поиск скрытых параметров и заголовков | Продолжаем серию статей про полезные расширения Burp Suite.
Одной из задач начального этапа black‑box пентеста веб‑приложения является определение как можно большего количества точек взаимодействия, в том числе и скрытых. Как правило, поиск... |
| 16.03.2023 | Как начать заниматься багхантингом веб-приложений. Часть 2 | В прошлый раз мы рассказали о том, что такое платформы и программы багбаунти, какой базовый инструментарий может использовать багхантер, чтобы облегчить или автоматизировать поиск, привели реальные примеры уязвимостей из старых версий прило... |
| 06.03.2023 | Ложнопозитивный WAF, или Как (не) купить себе кирпич | Всем привет! Меня зовут Николай Шуляев, и это моя вторая статья на Хабре (первая — тут). В этот раз я хотел бы поднять достаточно важный для меня и отчасти провокационный вопрос: Так ли нужен WAF?Предыстория
Сперва попытаемся понять, что пр... |
| 27.02.2023 | Настраиваем Android-девайс для анализа трафика приложений | Introduction
Периодически у меня возникает необходимость анализа мобильных приложений под Android, и каждый раз наибольшей проблемой является настройка перенаправления трафика мобильного приложения на прокси-сервер BurpSuite так, чтобы в не... |
| 05.02.2023 | REcollapse: фаззинг с использованием unicode-нормализации | ⚠ Дисклеймер ⚠
Данный инструмент/метод создан/описан[/переведён] исключительно для образовательных и этических целей тестирования. Использование данного инструмента для атаки целей без предварительного взаимного согласия является незаконным... |
| 13.01.2023 | Vulnerability with 9.8 severity in Control Web Panel is under active exploit | Enlarge
Getty Images reader comments 19 with 0 posters participating
Share this story
Share on Facebook
Share on Twitter
Share on Reddit
Malicious hackers have begun exploiting a critical vulnerability in unpatched versions of the Control W... |
| 28.12.2022 | How Organizations Can Overcome The Limitations Of MFA | Etay Maor is Senior Director, Security Strategy for Cato Networks, a developer of advanced cloud-native cybersecurity technologies. |
| 18.12.2022 | Самые крупные взломы и утечки 2022 года | Итак, это то самое время года, друзья. Да, пока мы тут, в декабре, движемся к 2023 году, пришло наконец время посмотреть на крупнейшие (читай: наихудшие, самые плачевные, самые нелепые) случаи взлома в уходящем году. Бедствия в кибербезопас... |
| 29.11.2022 | How secure a Twitter replacement is Mastodon? Let us count the ways | Enlarge
Getty Images reader comments 204 with 0 posters participating
Share this story
Share on Facebook
Share on Twitter
Share on Reddit
As Elon Musk critics flee from Twitter, Mastodon seems to be the most common replacement. In the last ... |
| 18.10.2022 | Vulnerability management isn’t scalable, but bug bounty programs are | Did you miss a session from MetaBeat 2022? Head over to the on-demand library for all of our featured sessions here.
Every security team knows how important patching vulnerabilities is — the problem is that it takes lots of time to do. In f... |
| 29.09.2022 | Как начать заниматься багхантингом веб-приложений | Компании могут проверять свои продукты, сервисы или инфраструктуру на реальность взлома разными способами: это и пентест (тестирование на проникновение), и редтиминг (Red Team, проверка возможностей компании по выявлению и предотвращению вт... |
| 24.09.2022 | Если нужно провести пентест или обнаружить вредоносную активность в сети — обсуждаем проект p0f | Говорим о компактной утилите для сбора цифровых отпечатков. Её применяют для оценки безопасности ИТ-инфраструктуры. Обсудим возможности и альтернативы./ Unsplash.com / Lujia ZhangЗнай свое окружение
За последний год выросло число атак на кр... |
| 19.09.2022 | Могут ли интернет-провайдеры продавать обезличенные ПД | Регуляторы разных стран дают собственный ответ на этот вопрос. Свою точку зрения имеют даже отдельные штаты. Обсудим, как обстоят дела в США и Европе./ Unsplash.com / Guillaume BourdagesСколько штатов, столько мнений
Еще пятнадцать лет наза... |
| 13.09.2022 | Что мы используем для анализа Android-приложений | Всем привет! В этой статье расскажем про инструментарий для анализа мобильных приложений, который мы используем каждый день. Для начала поговорим про то, как запускать мобильные приложения, чем смотреть трафик, а также рассмотрим инструмент... |
| 01.09.2022 | XSS с мутациями: как безопасный код становится зловредным и при чем здесь innerHTML | Midjourney: website hack
В 2013 году была опубликована статья Марио Хейдериха (Mario Heiderich), создателя утилиты DOMPurify для защиты от XSS атак, «mXSS Attacks: Attacking well-secured Web-Applications by using innerHTML Mutations». Этот ... |
| 31.08.2022 | Что я узнал за пять лет проведения аудитов кода | Когда я работал в PKC, моя команда вела около тридцати аудитов кода. Многие из них предназначались для стартапов, которые вышли на серию А или B – именно на этом этапе основатели обычно обзаводились деньгами, отвлекались от тотальной сосред... |
| 23.08.2022 | Как подобрать пароль к аккаунту/странице/сайту | Друзья, всех приветствую!
В этой статье мы поговорим о том, как подбирать пароли к учетным записям, сайтам, страницам, аккаунтам с помощью Burp Suite.
Аутентификация лежит в основе защиты приложения от несанкционированного доступа. Если зло... |
| 22.08.2022 | Практика динамического анализа. Особенности реализации и нюансы при встраивании в процесс | Привет, Хабр!
И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для своих клиентов. В процессе мы постоянно ста... |
| 22.08.2022 | 20 лет проблем приема платежей | За логотип спасибо yarbabin
Электронные системы расчетов существуют в интернете уже давно, а баги на них встречаются двадцатилетней давности. Мы находили критические уязвимости, позволяющие угнать деньги и накрутить баланс. Сегодня мы разбе... |
| 11.08.2022 | Why MFA Falls Short And What Can Be Done About It | Stu Sjouwerman is the founder and CEO of KnowBe4 Inc., a security awareness training and simulated phishing platform. |
| 28.07.2022 | Перевод стандарта OWASP ASVS 4.0. Часть 2 | Говорят, обещанного три года ждут, но не прошло и двух с появления первой части, как я решил не ждать продолжения, а доперевести OWASP Application Security Verification Standard самостоятельно. В первой части помимо раздела об архитектуре б... |
| 28.07.2022 | Перевод стандарта ASVS 4.0. Часть 2 | Говорят, обещанного три года ждут, но не прошло и двух, с тех пор как здесь появилась первая часть перевода OWASP Application Security Verification Standard 4.0, как я решил доделать начатое. В первой части помимо раздела об архитектуре был... |
| 04.07.2022 | Сертификация OSEP, и с чем ее едят | Привет, Хабр!
Относительно недавно (в масштабах вечности) я сдал экзамен Offensive Security Experienced Penetration Tester в рамках курса PEN-300 от Offensive Security.
В этой публикации я постараюсь рассказать о том, что это за сертификаци... |
| 28.06.2022 | CISA warns that Log4Shell remains a threat | We are excited to bring Transform 2022 back in-person July 19 and virtually July 20 - 28. Join AI and data leaders for insightful talks and exciting networking opportunities. Register today!
Last week, the Cybersecurity and Infrastructure S... |
| 09.06.2022 | Как найти и устранить IDOR — ликбез по уязвимости для пентестеров и веб-разработчиков | 99% того, что я делаю — использование ошибок, которых можно избежать. Сегодня я расскажу про IDOR — одну из самых распространенных и простых в использовании веб-уязвимостей. С ее помощью можно посмотреть чужие фотографии в социальной сети и... |
| 26.05.2022 | Как бы вы реализовали форму аутентификации на сайте? Вопрос для собеседования на Junior/Middle/Senior? | В свете исследования "Веб-разработчики пишут небезопасный код по умолчанию" мне подумалось, что именно так может звучать один из базовых вопросов на собеседовании с точки зрения проверки знания web-разработчика от уровня Junior до... |
| 25.05.2022 | Релиз stable-версии nginx 1.22.0 | Вчера была представлена новая stable-версия популярного HTTP- и многопротокольного прокси-сервера nginx 1.22.0. В новую стабильную версию вошли все основные изменения, которые мы наблюдали по мере выхода ветки 1.21.х, а работа в ветке 1.22 ... |
| 21.05.2022 | New Google Gmail Vulnerability is Capable of Hacking Credentials Upon Signing Up | Joseph Henry, Tech Times 21 May 2022, 11:05 am
The new Gmail exploit might endanger your sensitive information following a recently discovered flaw in the app's authentication code.
Millions of users worldwide have been warned of this secur... |
| 21.05.2022 | Security Warning For Facebook Users Who Login With Gmail OAuth Code | How do you sign into services? Because a newly disclosed Facebook exploit might change how you go about it in future... |
| 13.04.2022 | Becoming a web security expert, или Как я готовился и сдавал OSWE | Привет, Хабр! Меня зовут @killinem, и я работаю ведущим экспертом отдела анализа защищенности компании Angara Security. В этом посте я хочу рассказать о своем опыте прохождение курса AWAE и сдачи экзамена OSWE от Offensive Security. Это, по... |
| 29.03.2022 | 100K Fake Accounts Controlled by Five Robot Farms Destroyed for Spreading Panic in Ukraine | Urian B., Tech Times 29 March 2022, 12:03 pm
Five different robot farms that controlled about 100,000 fake accounts were destroyed by the Security Service of Ukraine after reportedly spreading misinformation spreading fear to Ukraine. The r... |
| 15.02.2022 | Топ-10 методов веб-взлома 2021 года по версии PortSwigger | Добро пожаловать в топ-10 новых методов веб-взлома 2021 года. Это заключительный этап ежегодной работы нашего сообщества. Цель работы — выявить самые значимые в области веб-безопасности, опубликованные в 2021 году.
PortSwigger — разработчик... |
| 09.02.2022 | Что мешает вашему сайту быть лучше мобильного приложения | Идёт 2022 год, а сайты так никто и не смог отменить. В компании ADCI Solutions уверены: пока сама концепция веба не уйдёт в прошлое, сайты будут приносить вам пользу. Особенно если делать чекапы — благо инструментов для этого полно.
3 комме... |
| 03.02.2022 | Intel enlists help of ‘elite hackers’ to exterminate bugs | Intel has announced an expansion of its Bug Bounty program with Project Circuit Breaker, a new initiative that is predominantly aimed at recruiting “elite hackers.”
The company wishes to form a community of hackers who will attempt to disco... |
| 15.11.2021 | SoftwareONE : Cyber Security Update October 2021 | 15 November 2021
Bala Sethunathan
5 minutes to read
SoftwareONE believes there is a need for additional information when it comes to cybersecurity, as organizations have made it clear that investment in a proper security strategy is paramou... |
| 12.11.2021 | Turbo Intruder и потерянное руководство пользователя | Практически каждый, кто хоть немного пользовался Burp Suite, знает про Intruder - инструмент внутри Burp, который позволяет автоматизировать атаки на веб-приложения, такие как брутфорс, фаззинг, майнинг параметров.
Однако, Intruder имеет мн... |
| 09.11.2021 | Contrast Security expands its cybersecurity tech to new markets with $150M | We are excited to bring Transform 2022 back in-person July 19 and virtually July 20 - 28. Join AI and data leaders for insightful talks and exciting networking opportunities. Register today!
Contrast Security, a Los Altos, California-based ... |
| 09.11.2021 | Contrast Security expands its cybersecurity tech to new markets with $150M | Contrast Security, a Los Altos, California-based company developing app security and embedded code analysis technologies, today announced that it raised $150 million in a series E round led by Liberty Strategic Capital, former treasury secr... |
| 31.10.2021 | Дайджест свежих материалов из мира фронтенда за последнюю неделю №491 (25 — 31 октября 2021) | Предлагаем вашему вниманию подборку с ссылками на новые материалы из области фронтенда и около него.
Медиа | Веб-разработка | CSS | JavaScript
Медиа
• «Новости 512» от CSSSR: Next.js 12, Error Boundaries, Node.js и Event Loop, алгоритмы на ... |
| 14.10.2021 | Survey: Why Cybersecurity is a Top Concern of D.C.-Area Small Businesses | By Laura Newpoff, Contributor The Business Journals Content Studio
The massive shift to work-from-home throughout the pandemic brought with it fundamental changes to the business community's security posture. Suddenly, employees weren't pro... |
| 22.09.2021 | Большая подборка полезных ресурсов от экспертов Positive Technologies: от лаб и подкастов до блогеров и сообществ | Хотите быть в курсе всего интересного, что происходит в практической информационной безопасности? Знать, за чьими твитами стоит следить, где можно подружиться с коллегами по цеху, что в первую очередь читать и смотреть, чтобы почерпнуть фун... |
| 08.09.2021 | Critical Vulnerability in HAProxy (CVE-2021-40346): Integer Overflow Enables HTTP Smuggling | JFrog Security research teams are constantly looking for new and previously unknown vulnerabilities in popular open-source projects to help improve their security posture. As part of this effort, we recently discovered a potentially critica... |
| 01.09.2021 | Как внедрить безопасность в процесс разработки. Опыт нашей команды | Привет! Я — Виктория Граненко, Security Automation Engineer в NIX. Свой путь в мир IT я начинала, как General QA, распараллеливая мануальные и автоматизированные задачи тестирования. Мне всегда нравилась автоматизация процессов. В мои обяза... |
| 19.08.2021 | Эффективный поиск XSS-уязвимостей | Про XSS-уязвимости известно давным-давно — казалось бы, нужен ли миру ещё один материал о них? Но когда Иван Румак, занимающийся тестированием безопасности, поделился методологией их поиска на нашей конференции Heisenbug, реакция зрителей о... |
| 18.08.2021 | Detectify Teams up with Hackers for Change to Benefit Security and Ethical Hacking Communities, Bolster Security for Non-profit Organizations | Detectify Teams up with Hackers for Change to Benefit Security and Ethical Hacking Communities, Bolster Security for Non-profit Organizations Wed, Aug 18, 2021 15:00 CET
Partnership provides tools for nonprofits to strengthen security postu... |
| 07.08.2021 | Уязвимость во многих reverse proxy, поддерживающих HTTP/2 | Опубликован новый вариант атаки "HTTP Request Smuggling", позволяющей «вклиниться» в запросы других пользователей при использовании HTTP/1.1 persistent connection между прокси (фронтендом) и бэкендом.
В данном случае речь идёт о п... |
| 10.07.2021 | Чистый и безопасный код — миф или реальность? | В таком случае важно иметь в виду, что сходу написать идеальный код невозможно. Для этого нужно потратить множество часов на обдумывание и детальное планирование. Здесь каждый для себя выбирает сам, что приоритетнее: написание чистого кода ... |
