| Date | Title | Description |
| 05.11.2024 | Полный захват аккаунта в одной из крупнейших компаний электронной коммерции | Привет всем,
Сегодня я хочу поделиться своим опытом обнаружения уязвимости, позволяющей захватить учетную запись (ATO) с помощью отравления ссылки для сброса пароля. Во время участия в программе, охватывающей миллионы пользователей — крупно... |
| 01.11.2024 | Рекогносцировка для баг-баунти: 8 инструментов необходимых для эффективного сбора информации | Содержание
Важность рекогносцировки
Автоматизированные инструменты
Заключение
Всем известно, что рекогносцировка является важнейшим этапом в баг-баунти и тестировании веб-приложений на проникновение. Охотники за уязвимостями, проводящие кач... |
| 29.10.2024 | The Thrill of the Hunt: Navigating the Bug Bounty Landscape | In the digital age, vulnerabilities lurk in every corner of the internet. Bug bounty programs are the modern-day treasure hunts, where ethical hackers seek out these hidden flaws for rewards. This article dives into the world of bug hunting... |
| 29.10.2024 | Вознаграждение в $20 300 за 200 часов хакерского марафона | Вернемся к июлю 2023 года: вместе с Мохаммадом Никуи мы решили посвятить 100 часов работе над публичной программой Bug Bounty на платформе BugCrowd. Мы занимались ею неполный рабочий день, уделяя по 4–6 часов ежедневно. Выбрали программу от... |
| 28.10.2024 | Unmasking Web Application Vulnerabilities: A Deep Dive into VAmPI | In the digital age, web applications are the backbone of countless services. However, with great power comes great responsibility. The VAmPI web application serves as a case study, revealing critical vulnerabilities that can compromise user... |
| 27.10.2024 | Как я получил $5000 за Out-of-Scope XSS | Несколько месяцев назад я получил приглашение участвовать в частной программе bug bounty на платформе HackerOne. Сначала я провел свои обычные тесты и обнаружил различные уязвимости, такие как недостаток управления доступом (BAC), утечка ав... |
| 26.10.2024 | Тестирование на проникновение в веб-приложении VAmPI | Привет, уважаемый читатель!
В рамках данной статьи мы узнаем:
Какие API уязвимости есть в VAmPI?
Из-за чего эти уязвимости существуют и эксплуатируются?
Какие есть способы защитить веб-приложение?
Какой есть дополнительный материал для само... |
| 25.10.2024 | Нос по ветру: как наш DNS-сниффер помогает искать Blind-уязвимости | Всем привет! В блоге центра исследования киберугроз Solar 4RAYS мы продолжаем делиться результатами расследований инцидентов, полезными инструментами для ИБ-специалистов и другими практическими материалами, часть которых мы размещаем и здес... |
| 18.10.2024 | The Rise of Game Development with Common Lisp: Crafting Dungeons and Interfaces | In the realm of game development, innovation is the lifeblood. Enter Common Lisp, a language often overshadowed by more mainstream options. Yet, it offers a unique approach to game design, particularly through the Entity-Component-System (E... |
| 17.10.2024 | Настройка BurpSuite professional на Ubuntu 24 | На данном практическом занятии мы рассмотрим процесс установки и начальной настройки BurpSuite Professional на Ubuntu 24 (22).
BurpSuite — это мощный и широко используемый инструмент для тестирования безопасности веб-приложений, который пом... |
| 15.10.2024 | The Silent Threat of Cache Poisoning: Understanding and Mitigating Risks | In the digital landscape, speed is king. Web caching serves as the turbocharger for online experiences, allowing users to access data swiftly. However, this convenience comes with a dark side: cache poisoning. This insidious attack can comp... |
| 15.10.2024 | Атаки на веб-кэширование. Отравление кэша: теория и практика | Кэширование — это эффективное архитектурное решение, которое сегодня используется на всех уровнях вычислительных систем, начиная от кэша процессора и жесткого диска до кэша веб-сервера и обратных прокси-серверов. Именно о последних пойдёт р... |
| 10.10.2024 | Методология баг-баунти: гайд для охотников за багами | Эта статья основана на моем опыте веб-хакера, но описанные в ней принципы в целом применимы ко всем дисциплинам хакинга. В основном она предназначена для начинающих хакеров и для людей, которые уже нашли несколько багов, но хотят сделать св... |
| 03.10.2024 | Daily Deal: The 2024 All-in-One Ethical Hacking Bundle | The 2024 All-in-One Ethical Hacking Bundle has 18 courses to help you learn more about penetration testing, social engineering, network security and ethical hacking. Courses cover Metasploit, Nmap, Wireshark, Burp Suite, Splunk, and more. I... |
| 03.10.2024 | Standoff-онбординг: знакомство, фишинг и взлом внешнего периметра | Привет, Хабр! Если вы это читаете — значит, вы интересуетесь кибербитвой Standoff. Эта статья первая из цикла, цель которого познакомить с платформой всех, кто мечтает поучаствовать в кибербитве впервые. Интересно будет и матерым игрокам — ... |
| 01.10.2024 | WAF для Вебсокетов: рабочее решение или иллюзия? | Есть мнение, что в силу особенностей вебсокетов, WAF не может их нормально анализировать и защищать. Давайте попробуем разобраться, насколько это утверждение справедливо.
Сперва несколько слов о том что есть вебсокет и где он применяется.Кр... |
| 26.09.2024 | История одного веб-сервиса: как забытые ресурсы могут стать дверью во внутреннюю сеть | Недавно мы рассказывали об успешном участии экспертов УЦСБ в премии для специалистов по тестированию на проникновение Pentest Award и обещали вернуться с детальным описанием интересных кейсов, с которыми участвовали наши пентестеры.
В этой ... |
| 22.09.2024 | The Rising Tide of Adversarial Attacks on AI: A Call to Action | In the world of artificial intelligence (AI), a storm is brewing. Adversarial attacks on machine learning (ML) models are not just increasing; they are evolving. As AI becomes more integrated into our daily lives, the vulnerabilities of the... |
| 20.09.2024 | Adversarial attacks on AI models are rising: what should you do now? | Join our daily and weekly newsletters for the latest updates and exclusive content on industry-leading AI coverage. Learn More
Adversarial attacks on machine learning (ML) models are growing in intensity, frequency and sophistication with m... |
| 17.09.2024 | Misconfigured ServiceNow Knowledge Bases Expose Confidential Information | Users of ServiceNow, a cloud-based platform used to manage IT services and processes, could be unknowingly exposing confidential information, including names, phone numbers, internal system details, and active credentials.
Misconfiguration ... |
| 17.09.2024 | Где и как искать этот ваш SSRF: первые шаги в багхантинге | Привет, меня зовут Олег Уланов (aka brain). Я занимаюсь пентестами веб-приложений и активно участвую в багбаунти, зарабатывая на чужих ошибках. Свой путь в наступательной безопасности я начал совсем недавно, но, несмотря на это, меньше чем ... |
| 01.09.2024 | Снифферы трафика в мобильном тестировании: Обзор инструментов и их особенности | Можно заметить, что инструменты сниффинга трафика незаменимы в мобильном тестировании, предоставляя возможность оперативно и грамотно подходить к исследованиям сетевых взаимодействий, осуществляемых приложениями. К числу таких инструментов,... |
| 29.07.2024 | The Cybersecurity Battlefield: Insights from Student Hackers and Ransomware Evolution | In the digital age, cybersecurity is the new frontier. It’s a battlefield where the stakes are high, and the players are diverse. From student hackers testing their skills in competitions to sophisticated ransomware groups targeting corpora... |
| 28.07.2024 | Студенческий опыт Standoff — на шаг ближе к вершинам | Привет, Хабр! На связи лаборатория кибербезопасности AP Security и сегодня наши стажёры делятся своим важным профессиональным опытом.
Каждый, кто хотя бы немного знаком со сферой ИБ или краем уха слышал про Positive Hack Days, припоминает б... |
| 27.07.2024 | Wildberries Boosts Bug Bounty Rewards: A New Era for Cybersecurity Enthusiasts | In the digital landscape, vulnerabilities lurk like shadows. Companies are increasingly aware of the need to illuminate these dark corners. Wildberries, a major player in the Russian e-commerce scene, has taken a bold step. They are doublin... |
| 20.07.2024 | Место забавных ситуаций в жизни или сертификация у PT | Забавная по сути своей ситуация получилась при работе с Positive Technologies. Согласно требованиям партнерских программ, я проходил необходимые сертификации на их сайте edu.ptsecurity.com и по старой доброй привычке решил просмотреть тела ... |
| 10.07.2024 | Brighton Park Capital Investing $112 Million In PortSwigger | Brighton Park Capital, an investment firm focused on entrepreneur-led, growth-stage companies within the software, healthcare, and tech-enabled services businesses space, announced a $112 million investment in PortSwigger – which is a renow... |
| 09.07.2024 | Зачем искать поверхность атаки для своего проекта | Любые программные системы включают в себя нужные и не очень нужные пакеты. Получается огромный объём кода (для одного несложного сайта npm list -a выдаёт список из 4256 зависимостей). А так как «весь код — это ваш код», то такие зависимости... |
| 28.06.2024 | PortSwigger: Securing the Web, One Byte at a Time | PortSwigger, a UK-based cybersecurity company, recently secured a hefty sum of funding to bolster its efforts in the web security space. With €104.7 million from Brighton Park Capital, the company is set to double down on its mission to pro... |
| 27.06.2024 | UK-based PortSwigger raises €104.7 million to double down in the web security space | Cheshire-based PortSwigger, an application security software provider, announced it has raised €104.7 million from Brighton Park Capital, an investment firm focused on entrepreneur-led, growth-stage companies within the software, healthcare... |
| 27.06.2024 | Vulnerability detection provider PortSwigger raises $112M
Your vote of support is important to us and it helps us keep the content FREE.
One click below supports our mission to provide free, deep, and... | PortSwigger Ltd., the company behind one of the industry’s most popular cybersecurity testing tools, today disclosed that it has raised $112 million in funding.
The capital was provided by private equity firm Brighton Park Capital. It marks... |
| 24.06.2024 | XSS в Sappy (частичный writeup) | Введение
Недавно прошел Google CTF, после которого были выложены исходные коды и exploit'ы к заданиям.
В этой статье я хотел бы подробнее рассмотреть web task с недавно прошедшего Google CTF, который называется "Sappy".
На момент ... |
| 20.06.2024 | Сравнение зарубежных и отечественных площадок для белых хакеров по сложности | Привет, Хабр! Продолжая “рекламную кампанию” информационной безопасности для заинтересовавшихся, хочу затронуть тему площадок для Также их называют белыми хакерами." data-abbr="этичных">этичных хакеров (и не только для них... |
| 18.06.2024 | CTF — для начинающих | Как начать играть в CTF? Что почитать? Чему можно будет научиться? CTF
Capture The Flag (CTF) – это не просто развлечение, а настоящие спортивные состязания по «спортивному хакингу». Участникам предлагаются задачи, где нужно найти и использ... |
| 13.06.2024 | Осваиваем DOM Invader: ищем DOM XSS и Prototype Pollution на примере пяти лабораторных и одной уязвимости на Хабре | Привет, Хабр! Сегодня мы познакомимся с DOM XSS и Prototype Pollution, рассмотрим примеры уязвимостей на Bug Bounty и научимся использовать инструмент DOM Invader, который заметно упростит поиск таких уязвимостей.
Материал будет интересен с... |
| 10.06.2024 | Анализируем HTTP трафик в Wireshark | Анализатор пакетов Wireshark является одним из основных инструментов, используемых как сетевыми инженерами и администраторами, так и разработчиками и тестировщиками приложений для решения проблем с сетевыми протоколами.
При этом, не все уме... |
| 15.05.2024 | Что такое WAF и как с ним работать? Показываем на примере уязвимого веб-приложения | Информационная безопасность веб-приложений за последние несколько лет стала, наверное, одним из ключевых вопросов в IT. Для компаний стабильность работы систем — это репутация и отсутствие лишних издержек. Ежегодная статистика больших ИБ-ко... |
| 14.05.2024 | Методы расшифровки трафика | Добрый день, дорогие читатели Хабра!
Мы команда специалистов из компании ПМ. Довольно часто к нам приходят заказы на анализ защищенности или тестирование на проникновение веб-ресурсов. Первоначальным этапом при проведении работ является раз... |
| 03.05.2024 | Безопасность веб-приложений для самых маленьких фронтов | С первого взгляда кажется, что безопасность - это тема devops-а или бэкенда. Но разделить зоны ответственности в этом вопросе очень сложно. В этой статье я хотел бы поговорить о моментах, связанных именно с фронтендом - т.е. об атаках, кото... |
| 29.04.2024 | Раскрываем секретные функции: магия макросов в Burp Suite | Привет! Если ты думаешь, что знаешь всё о Burp Suite, я тебя удивлю! Этот мощный инструмент для тестирования веб-приложений скрывает в себе ещё больше возможностей, способных значительно упростить и ускорить работу. Сегодня мы изучим функци... |
| 12.04.2024 | Безопасная разработка: обзор основных инструментов | Привет! Меня зовут Иван, я инженер по кибербезопасности в достаточно крупной компании и автор курса «Специалист по информационной безопасности: веб-пентест». В этой сфере я уже около шести лет.
Сейчас занимаюсь тестированием безопасности пр... |
| 04.04.2024 | BSCP — разгадываем тайны сертификации от академии PortSwigger | Привет, Хабр! Меня зовут Никита, я пентестер, специализируюсь на веб-тестировании. Наверняка многие из вас задумывались о подтверждении своей экспертизы с помощью некоторых сертификаций. Сегодня хочу поговорить о популярной сертификации от ... |
| 03.04.2024 | Игра в безопасность Android-приложений | Давайте в общих чертах рассмотрим вопросы взлома и защиты Android-приложений.
В рамках статьи нас интересуют сами процессы взлома и защиты, а не конкретные методики работы с конкретными инструментами. Поэтому разберёмся с этими процессами и... |
| 02.04.2024 | Красавица и HTML Injection. Почему HTMLi не только про дефейс | Привет, Хабр. Сегодня мы посмотрим на достаточно тривиальную тему с совсем нетривиальной стороны. Пожалуй, для каждого вебера HTML-инъекции являются темой, которой зачастую уделяют не очень много внимания. Взять даже собеседования: когда в ... |
| 22.03.2024 | Tinkoff CTF 2024: разбор демозадания | В апреле пройдет второй Tinkoff CTF для ИТ-специалистов. В этой статье мы рассказываем о соревновании и разбираем одно из демозаданий CTF. Статья поможет лучше подготовиться, даже если вы никогда не участвовали в подобных мероприятиях.
Если... |
| 19.03.2024 | Перехват трафика мобильных приложений | Часто случается так что на необходимом сайте установлена защита от ботов. Например: QRATOR, Cloudflare, Akamai Bot Manager и пр. Можно потратить множество ресурсов на обход этих систем, но если у вашего ресурса есть мобильное приложение, то... |
| 09.03.2024 | Цифровой цейтнот: почему свежие ИБ-законопроекты не находят широкой поддержки — примеры и мнения | В мире растет число кибератак, и правительства отдельных стран принимают меры по противодействию злоумышленникам. Некоторые инициативы выглядят довольно строгими. Так, индийский регулятор обязал пострадавшие от хакерских атак компании предо... |
| 01.03.2024 | Аутентификация для WebSocket и SSE: до сих пор нет стандарта? | WebSocket и SSE появились более десяти лет назад, однако до сих пор в стандартах отсутствуют рекомендации по решению задачи аутентификации для подобных соединений.
В статье разберем особенности аутентификации применительно к протоколу WebSo... |
| 27.02.2024 | Исследование безопасности десктопных приложений на основе Electron
Инструменты и методы анализа
Особенности ручного тестирования приложений на основе Electron
Виды атак и примеры эксплуатации уязвимос... | Electron — фреймворк с открытым исходном кодом для создания кросс-платформенных десктопных приложений с помощью JavaScript, HTML и CSS. Это крутая технология, но с ней связаны многие ИБ-риски.
В статье я разберу основы безопасной работы с э... |
| 21.02.2024 | Standoff 365. Самое красивое недопустимое событие в деталях | Изображение сгенерировано ботом Kandinsky (https://t.me/kandinsky21_bot)
Привет, Хабр. Меня зовут Виктор, я работаю в компании «Инфосистемы Джет» пентестером и активно играю на киберполигоне Standoff 365 под ником VeeZy. Сегодня я хочу поде... |
| 02.02.2024 | Ладья на XSS: как я хакнул chess.com детским эксплойтом | Шахматы – это одно из многих моих хобби, за которыми я провожу свободное время, когда не ковыряюсь с какой-нибудь электроникой. При этом играю я так себе, и когда мне изрядно надоело проигрывать, я решил заняться тем, что у меня получается ... |
| 23.01.2024 | Эксплуатируем уязвимость внедрения шаблонов на стороне сервера в обход песочницы | Привет, Хабр, на связи лаборатория кибербезопасности компании AP Security! Сегодня речь пойдет о том, как можно использовать уязвимость внедрения шаблонов на стороне сервера (SSTI), когда сервер жертвы находится в изолированной среде (песоч... |
| 05.01.2024 | Ivanti warns of critical vulnerability in its popular line of endpoint protection software | Enlarge reader comments 20
Software maker Ivanti is urging users of its end-point security product to patch a critical vulnerability that makes it possible for unauthenticated attackers to execute malicious code inside affected networks.
Th... |
| 25.12.2023 | Загрязненный — значит опасный: про уязвимость Prototype Pollution | Prototype Pollution (CVE-2023-45811, CVE-2023-38894, CVE-2019-10744) — не новая брешь, вы уже наверняка читали про нее и на Хабре, и на PortSwigger, и даже в научных журналах, но есть нюанс. Несмотря на большое количество публикаций, некото... |
| 14.12.2023 | Кибер-соревнования для начинающих этичных хакеров | Привет, Хабр, Давно не виделись! Я - Никита, студент Бонча и инженер в «Газинформсервис» (подробнее обо мне в этой статье). Предлагаю немного ближе познакомиться c миром ИБ, а именно кибер-соревнованиями. В этом материале кратко расскажу ка... |
| 08.12.2023 | Безопасность Supply Chain. Глава 2: как злонамеренные библиотеки проникают в проект и как этому помешать | Bob: Alice, ты в прошлый раз меня убедила, что мне необходимо проверить свои сторонние зависимости в проекте на риски атак через цепочку поставок (Supply Chain). По итогу уже нашлось три подозрительные библиотеки. Я вообще не понимаю, как о... |
| 29.11.2023 | «Синее» возрождение: как blue team завоевать популярность | Привет, Хабр! На связи Макар Ляхнов, аналитик по информационной безопасности в Innostage. Я киберзащитник-специалист, чью профессию пока трудно назвать популярной. А для чего, казалось бы, выбирать защиту, когда есть все это веселье со взло... |
| 23.11.2023 | Как начать карьеру в пентесте: опыт сотрудника Angara Security | Мы продолжаем цикл материалов о старте карьеры в кибербезопасности.
Этот материал подготовил сотрудник отдела анализа защищенности Angara Security, по просьбе автора, мы не будем раскрывать его имя. Если после прочтения статьи будут вопросы... |
| 17.11.2023 | Пентест: суровая реальность, которая распадает мечты новичков | В последние годы пентестинг (проверка на проникновение) продолжает набирать популярность среди молодых специалистов в области информационной безопасности. Множество статей, книг и видеоматериалов предлагают искусственную и романтизированную... |
| 15.11.2023 | Пентесты: готовим рабочее окружение для атаки | Веб-пентест — это специализированная процедура, в ходе которой специалисты по кибербезопасности активно ищут и эксплуатируют уязвимости веб-системы. Цель такой симулированной атаки — выявить слабые звенья системы безопасности, которые могут... |
| 14.11.2023 | Импортозамещение сканеров web-уязвимостей: обзор актуальных DAST-решений8 | Привет, Хабр!
Поговорим о проблеме выбора DAST, который бы смог удовлетворить потребности регулярного поиска уязвимостей в web-инфраструктуре компании. Опытные пентестеры, специализирующиеся на web-приложениях, наверняка возразят: какой тут... |
| 12.10.2023 | Оса не проскочит: разбираемся в методиках тестирования и сравнения ̶ а̶н̶т̶и̶м̶о̶с̶к̶и̶т̶н̶ы̶х̶ ̶с̶е̶т̶о̶к̶ WAF... | Использование WAF для защиты веб-приложений и API уже давно стало необходимостью. И дело тут не только в требованиях регуляторов (152-ФЗ и 187-ФЗ, PCI DSS), но и в здравом смысле, стоит хотя бы посмотреть на количество взломов и утечек за п... |
| 28.09.2023 | Небезопасная многопоточность или Race Condition | Как я и люблю - мы начнем с условных основ и будем двигаться постепенно всё глубже и глубже. Ближе к концу разберём, как эксплуатировать. При написании статьи было использовано много разных источников. К чему это? А к тому, что я начну со с... |
| 01.09.2023 | Взлом EPP-серверов для перехвата управления доменными зонами | В течение нескольких последних десятилетий интернет выстраивался на основе спецификаций и протоколов, которые со временем нередко забывались. Проводимые нами исследования зачастую акцентировались на наиболее часто атакуемых целях (подробнее... |
| 31.08.2023 | Как начать заниматься багхантингом веб-приложений. Часть 3 | В предыдущих статьях (первая, вторая) мы рассматривали несколько типов уязвимостей на примерах устаревших версий реального программного обеспечения, рассказывали о базовом инструментарии при занятии багхантингом, о багбаунти-программах, их ... |
| 13.07.2023 | FVWA (Flask Vulnerable Web Application) | Дорогие друзья, добро пожаловать в нашу веб-лабораторию! Мы создали эту лабораторию с одной целью — помочь начинающим ИБ-специалистам ознакомиться с основными уязвимостяии в веб-приложениях.
Приложение содержит несколько заданий, в каждом и... |
| 27.06.2023 | Место QA в тестировании продукта на безопасность | Привет, меня зовут Дмитрий Крылатков, работаю QA-инженером в компании Doubletapp. Я всегда был заинтересован темой тестирования на безопасность, участвую в bug-bounty программах, а также поднимаю осведомленность о существующих уязвимостях с... |
| 19.06.2023 | Как устроен CTF: соревнование, где каждый может побыть хакером | Совсем скоро пройдет IT’s Tinkoff CTF для ИТ-специалистов. У нас уже готов сайт, где вы можете узнать подробности и зарегистрироваться, но это еще не все. Для тех, кто пока не знаком с таким форматом соревнований, мы подготовили эту статью.... |
| 06.06.2023 | Mass exploitation of critical MOVEit flaw is ransacking orgs big and small | Enlarge
Getty Images reader comments 48 with
Organizations big and small are falling prey to the mass exploitation of a critical vulnerability in a widely used file-transfer program. The exploitation started over the Memorial Day holiday—wh... |
| 01.06.2023 | Как превратить DevOps-пайплайн в DevSecOps-пайплайн. Обзор концепции Shift Left | Привет, Хабр! Меня зовут Алексей Колосков, я DevOps/Cloud-инженер в Hilbert Team. Вместе с моим коллегой Михаилом Кажемским в этой статье мы расскажем об особенностях DevSecOps-пайплайна и концепции Shift Left. Вы узнаете об основных этапах... |
| 31.05.2023 | Расщепляем AI Test Kitchen на молекулы и подключаемся к Imagen | Одним прекрасным днём я решил посмотреть, какие запросы отправляет мобильное Google-приложение AI Test Kitchen и наткнулся на пока-что рабочий API закрытой нейросети для генерации изображений Imagen.
Делюсь тем, как я это обнаружил, что еще... |
| 17.05.2023 | Burp Suite — сканирование веб-приложений на основе JWT | Привет, Хабр! Снова с вами те, кто отчитываются, что в вашем приложении не хватает заголовков безопасности, а именно инженеры по динамическому анализу. В нашей прошлой статье мы описали плагин для OWASP ZAP, упрощающий авторизацию на основе... |
| 27.04.2023 | Tenable report shows how generative AI is changing security research | Join top executives in San Francisco on July 11-12, to hear how leaders are integrating and optimizing AI investments for success. Learn More
Today, vulnerability management provider Tenable published a new report demonstrating how its rese... |
| 17.04.2023 | Как багхантеру искать XSS-уязвимости через наложение парсеров: исследование Positive Technologies | Привет, Хабр! Меня зовут Игорь Сак-Саковский, и я уже семь лет занимаюсь безопасностью веб-приложений в команде PT SWARM в компании Positive Technologies. В этой статье расскажу о моем недавнем исследовании, которое вошло в топ-10 методов в... |
| 31.03.2023 | Дуалистическая природа Param Miner. Часть 1. Поиск скрытых параметров и заголовков | Продолжаем серию статей про полезные расширения Burp Suite.
Одной из задач начального этапа black‑box пентеста веб‑приложения является определение как можно большего количества точек взаимодействия, в том числе и скрытых. Как правило, поиск... |
| 16.03.2023 | Как начать заниматься багхантингом веб-приложений. Часть 2 | В прошлый раз мы рассказали о том, что такое платформы и программы багбаунти, какой базовый инструментарий может использовать багхантер, чтобы облегчить или автоматизировать поиск, привели реальные примеры уязвимостей из старых версий прило... |
| 06.03.2023 | Ложнопозитивный WAF, или Как (не) купить себе кирпич | Всем привет! Меня зовут Николай Шуляев, и это моя вторая статья на Хабре (первая — тут). В этот раз я хотел бы поднять достаточно важный для меня и отчасти провокационный вопрос: Так ли нужен WAF?Предыстория
Сперва попытаемся понять, что пр... |
| 27.02.2023 | Настраиваем Android-девайс для анализа трафика приложений | Introduction
Периодически у меня возникает необходимость анализа мобильных приложений под Android, и каждый раз наибольшей проблемой является настройка перенаправления трафика мобильного приложения на прокси-сервер BurpSuite так, чтобы в не... |
| 05.02.2023 | REcollapse: фаззинг с использованием unicode-нормализации | ⚠ Дисклеймер ⚠
Данный инструмент/метод создан/описан[/переведён] исключительно для образовательных и этических целей тестирования. Использование данного инструмента для атаки целей без предварительного взаимного согласия является незаконным... |
| 13.01.2023 | Vulnerability with 9.8 severity in Control Web Panel is under active exploit | Enlarge
Getty Images reader comments 19 with 0 posters participating
Share this story
Share on Facebook
Share on Twitter
Share on Reddit
Malicious hackers have begun exploiting a critical vulnerability in unpatched versions of the Control W... |
| 28.12.2022 | How Organizations Can Overcome The Limitations Of MFA | Etay Maor is Senior Director, Security Strategy for Cato Networks, a developer of advanced cloud-native cybersecurity technologies. |
| 18.12.2022 | Самые крупные взломы и утечки 2022 года | Итак, это то самое время года, друзья. Да, пока мы тут, в декабре, движемся к 2023 году, пришло наконец время посмотреть на крупнейшие (читай: наихудшие, самые плачевные, самые нелепые) случаи взлома в уходящем году. Бедствия в кибербезопас... |
| 29.11.2022 | How secure a Twitter replacement is Mastodon? Let us count the ways | Enlarge
Getty Images reader comments 204 with 0 posters participating
Share this story
Share on Facebook
Share on Twitter
Share on Reddit
As Elon Musk critics flee from Twitter, Mastodon seems to be the most common replacement. In the last ... |
| 18.10.2022 | Vulnerability management isn’t scalable, but bug bounty programs are | Did you miss a session from MetaBeat 2022? Head over to the on-demand library for all of our featured sessions here.
Every security team knows how important patching vulnerabilities is — the problem is that it takes lots of time to do. In f... |
| 29.09.2022 | Как начать заниматься багхантингом веб-приложений | Компании могут проверять свои продукты, сервисы или инфраструктуру на реальность взлома разными способами: это и пентест (тестирование на проникновение), и редтиминг (Red Team, проверка возможностей компании по выявлению и предотвращению вт... |
| 24.09.2022 | Если нужно провести пентест или обнаружить вредоносную активность в сети — обсуждаем проект p0f | Говорим о компактной утилите для сбора цифровых отпечатков. Её применяют для оценки безопасности ИТ-инфраструктуры. Обсудим возможности и альтернативы./ Unsplash.com / Lujia ZhangЗнай свое окружение
За последний год выросло число атак на кр... |
| 19.09.2022 | Могут ли интернет-провайдеры продавать обезличенные ПД | Регуляторы разных стран дают собственный ответ на этот вопрос. Свою точку зрения имеют даже отдельные штаты. Обсудим, как обстоят дела в США и Европе./ Unsplash.com / Guillaume BourdagesСколько штатов, столько мнений
Еще пятнадцать лет наза... |
| 13.09.2022 | Что мы используем для анализа Android-приложений | Всем привет! В этой статье расскажем про инструментарий для анализа мобильных приложений, который мы используем каждый день. Для начала поговорим про то, как запускать мобильные приложения, чем смотреть трафик, а также рассмотрим инструмент... |
| 01.09.2022 | XSS с мутациями: как безопасный код становится зловредным и при чем здесь innerHTML | Midjourney: website hack
В 2013 году была опубликована статья Марио Хейдериха (Mario Heiderich), создателя утилиты DOMPurify для защиты от XSS атак, «mXSS Attacks: Attacking well-secured Web-Applications by using innerHTML Mutations». Этот ... |
| 31.08.2022 | Что я узнал за пять лет проведения аудитов кода | Когда я работал в PKC, моя команда вела около тридцати аудитов кода. Многие из них предназначались для стартапов, которые вышли на серию А или B – именно на этом этапе основатели обычно обзаводились деньгами, отвлекались от тотальной сосред... |
| 23.08.2022 | Как подобрать пароль к аккаунту/странице/сайту | Друзья, всех приветствую!
В этой статье мы поговорим о том, как подбирать пароли к учетным записям, сайтам, страницам, аккаунтам с помощью Burp Suite.
Аутентификация лежит в основе защиты приложения от несанкционированного доступа. Если зло... |
| 22.08.2022 | 20 лет проблем приема платежей | За логотип спасибо yarbabin
Электронные системы расчетов существуют в интернете уже давно, а баги на них встречаются двадцатилетней давности. Мы находили критические уязвимости, позволяющие угнать деньги и накрутить баланс. Сегодня мы разбе... |
| 22.08.2022 | Практика динамического анализа. Особенности реализации и нюансы при встраивании в процесс | Привет, Хабр!
И снова в эфире Юрий Шабалин, главный архитектор компании Swordfish Security. Мы уже достаточно давно занимаемся консалтингом в области построения процессов безопасной разработки для своих клиентов. В процессе мы постоянно ста... |
| 11.08.2022 | Why MFA Falls Short And What Can Be Done About It | Stu Sjouwerman is the founder and CEO of KnowBe4 Inc., a security awareness training and simulated phishing platform. |
| 28.07.2022 | Перевод стандарта OWASP ASVS 4.0. Часть 2 | Говорят, обещанного три года ждут, но не прошло и двух с появления первой части, как я решил не ждать продолжения, а доперевести OWASP Application Security Verification Standard самостоятельно. В первой части помимо раздела об архитектуре б... |
| 28.07.2022 | Перевод стандарта ASVS 4.0. Часть 2 | Говорят, обещанного три года ждут, но не прошло и двух, с тех пор как здесь появилась первая часть перевода OWASP Application Security Verification Standard 4.0, как я решил доделать начатое. В первой части помимо раздела об архитектуре был... |
| 04.07.2022 | Сертификация OSEP, и с чем ее едят | Привет, Хабр!
Относительно недавно (в масштабах вечности) я сдал экзамен Offensive Security Experienced Penetration Tester в рамках курса PEN-300 от Offensive Security.
В этой публикации я постараюсь рассказать о том, что это за сертификаци... |
| 28.06.2022 | CISA warns that Log4Shell remains a threat | We are excited to bring Transform 2022 back in-person July 19 and virtually July 20 - 28. Join AI and data leaders for insightful talks and exciting networking opportunities. Register today!
Last week, the Cybersecurity and Infrastructure S... |
| 09.06.2022 | Как найти и устранить IDOR — ликбез по уязвимости для пентестеров и веб-разработчиков | 99% того, что я делаю — использование ошибок, которых можно избежать. Сегодня я расскажу про IDOR — одну из самых распространенных и простых в использовании веб-уязвимостей. С ее помощью можно посмотреть чужие фотографии в социальной сети и... |
| 26.05.2022 | Как бы вы реализовали форму аутентификации на сайте? Вопрос для собеседования на Junior/Middle/Senior? | В свете исследования "Веб-разработчики пишут небезопасный код по умолчанию" мне подумалось, что именно так может звучать один из базовых вопросов на собеседовании с точки зрения проверки знания web-разработчика от уровня Junior до... |
