#hacking #web
Portswigger (Разработчики продукта BurpSuite) объявили номинацию «Top 10 Web Hacking Techniques of 2017».
В качестве кандидатов на странице представлены более 30 крутейших историй взлома компаний через веб-приложения.
Голосование уже завершено, но с историями все еще можно ознакомиться. В ближайшее время ждем результатов номинации.
https://portswigger.net/blog/top-10-web-hacking-techniques-of-2017-voting-open
Portswigger (Разработчики продукта BurpSuite) объявили номинацию «Top 10 Web Hacking Techniques of 2017».
В качестве кандидатов на странице представлены более 30 крутейших историй взлома компаний через веб-приложения.
Голосование уже завершено, но с историями все еще можно ознакомиться. В ближайшее время ждем результатов номинации.
https://portswigger.net/blog/top-10-web-hacking-techniques-of-2017-voting-open
PortSwigger Research
Top 10 Web Hacking Techniques of 2017 - Voting Open
The nominations are in for the Top 10 Web Hacking Techniques of 2017, so it's time to start the community vote. We're inviting everyone to select their personal top 10, and the votes will be used to b
#ctf #quest
Рекомендую новичками интересный квест от группы Defcon-NN. Когда-то сам успел в него поиграть и взять первое место на PhDays в прохождении этого квеста. Сейчас ребята его доработали и запускают заново. Сложность задач ниже среднего, очень полезно для изучения азов хакинга, т.к. столкнетесь с разными ситуациями и инструментами.
Рекомендую новичками интересный квест от группы Defcon-NN. Когда-то сам успел в него поиграть и взять первое место на PhDays в прохождении этого квеста. Сейчас ребята его доработали и запускают заново. Сложность задач ниже среднего, очень полезно для изучения азов хакинга, т.к. столкнетесь с разными ситуациями и инструментами.
Forwarded from Wire Snark
DefHack 2018.9: Виноградный Джо
или Как сисадмин Виноград оказался не таким уж неуловимым.
Приглашаем принять участие в первом дополнении нашего хакерского квеста DefHack на конференции NeoQUEST-2018! Онлайн-доступ будет открыт с завтрашнего утра, 26 сентября. Подробнее по ссылке http://defcon-nn.ru/defhack.
В квесте представлен виртуальный мир анти-утопии, по которому вам предстоит путешествовать, выполняя различные задания. Всё начинается с поступления на работу в отдел расследования инцидентов Ё-корп. Распутывание дел в роли "белого" хакера приведет вас к встрече с интересными противниками — вы познакомитесь с яркими представителями группировок в "серых" и "чёрных" шляпах. Каждый ваш шаг сказывается на окружающем мире, отражаясь через призму новостного сайта корпорации. По мере того, как вы узнаете стороны конфликта получше, вам, как и в жизни, представится возможность выбора. От того, чью сторону вы примете, зависит судьба этого мира.
Категории заданий, включенные в версию DefHack 2018.9:
- форензика, расследования (сеть, диск)
- веб
- разведка, osint
- mitm
- brute-force
- pwn
- повышение привилегий
- смарт-контракты Этериум
Кроме того, вам представится возможность поработать с сетью Tor, причем не только через браузер, но также потребуется перенаправлять в неё трафик приложений (например, с помощью torsocks). Мы рекомендуем использовать какой-либо дистрибутив Linux.
Участвовать можно как в одиночку, так и в команде. Сложность большинства заданий — легкая или средняя, они вполне по силам любому админу, программисту, тестировщику, и тем более пентестеру. По каждому заданию можно получить внутриигровую подсказку, привязанную к контексту вашего текущего прогресса. Для вопросов к организаторам есть выделенный телеграм-чат @defhack2018_neoquest.
Составляя задания, мы старались приблизить их к реалистичным, потенциально возможным ситуациям. Большинство заданий, надеемся, полезны и для отработки базовых методов атаки, и понимания возможных методов защиты.
или Как сисадмин Виноград оказался не таким уж неуловимым.
Приглашаем принять участие в первом дополнении нашего хакерского квеста DefHack на конференции NeoQUEST-2018! Онлайн-доступ будет открыт с завтрашнего утра, 26 сентября. Подробнее по ссылке http://defcon-nn.ru/defhack.
В квесте представлен виртуальный мир анти-утопии, по которому вам предстоит путешествовать, выполняя различные задания. Всё начинается с поступления на работу в отдел расследования инцидентов Ё-корп. Распутывание дел в роли "белого" хакера приведет вас к встрече с интересными противниками — вы познакомитесь с яркими представителями группировок в "серых" и "чёрных" шляпах. Каждый ваш шаг сказывается на окружающем мире, отражаясь через призму новостного сайта корпорации. По мере того, как вы узнаете стороны конфликта получше, вам, как и в жизни, представится возможность выбора. От того, чью сторону вы примете, зависит судьба этого мира.
Категории заданий, включенные в версию DefHack 2018.9:
- форензика, расследования (сеть, диск)
- веб
- разведка, osint
- mitm
- brute-force
- pwn
- повышение привилегий
- смарт-контракты Этериум
Кроме того, вам представится возможность поработать с сетью Tor, причем не только через браузер, но также потребуется перенаправлять в неё трафик приложений (например, с помощью torsocks). Мы рекомендуем использовать какой-либо дистрибутив Linux.
Участвовать можно как в одиночку, так и в команде. Сложность большинства заданий — легкая или средняя, они вполне по силам любому админу, программисту, тестировщику, и тем более пентестеру. По каждому заданию можно получить внутриигровую подсказку, привязанную к контексту вашего текущего прогресса. Для вопросов к организаторам есть выделенный телеграм-чат @defhack2018_neoquest.
Составляя задания, мы старались приблизить их к реалистичным, потенциально возможным ситуациям. Большинство заданий, надеемся, полезны и для отработки базовых методов атаки, и понимания возможных методов защиты.
#CTF #beginners #hacking
Появилась интересная бета-версия площадки https://attackdefense.com/. Площадка дает задачи по разным направлениям по типу задач CTF. Уровень задач easy-medium (Основываясь на первом взгляде). Рекомендую новичкам, кому хочется изучать не в глубь, а в ширь.
Появилась интересная бета-версия площадки https://attackdefense.com/. Площадка дает задачи по разным направлениям по типу задач CTF. Уровень задач easy-medium (Основываясь на первом взгляде). Рекомендую новичкам, кому хочется изучать не в глубь, а в ширь.
#beginners #professional #reverseEngineering
https://godbolt.org/ очень полезный сайт для изучения языка ассемблера. Интерактивный интерфейс переводит конструкции высокоуровневого языка в ассемблерные конструкции, что очень наглядно демонстрирует то, как происходит компиляция.
Будет полезно начинающим реверс иженерам и прочим специалистам.
https://godbolt.org/ очень полезный сайт для изучения языка ассемблера. Интерактивный интерфейс переводит конструкции высокоуровневого языка в ассемблерные конструкции, что очень наглядно демонстрирует то, как происходит компиляция.
Будет полезно начинающим реверс иженерам и прочим специалистам.
godbolt.org
Compiler Explorer
Compiler Explorer is an interactive online compiler which shows the assembly output of compiled C++, Rust, Go (and many more) code.
#beginners #knowledge
Русскоязычное описание работы протокола SSH, коротко и ясно. Новички должны знать, остальные повторить.
https://goo.gl/USG12d
Русскоязычное описание работы протокола SSH, коротко и ясно. Новички должны знать, остальные повторить.
https://goo.gl/USG12d
Хабр
Алгоритм установления соединения в протоколе SSH
(Начальное название статьи «Алгоритм работы протокола SSH» было изменено по рекомендациям Vindicar, Karroplan и других участников хабросообщества) Периодически...
#hacking #attacks
Немного с опозданием, тем не менее, всем рекомендую новую уязвимость в edge для применения в социальной инженерии.
https://xakep.ru/2018/10/12/edge-rce/
Немного с опозданием, тем не менее, всем рекомендую новую уязвимость в edge для применения в социальной инженерии.
https://xakep.ru/2018/10/12/edge-rce/
«Хакер»
Найдена уязвимость RCE в браузере Edge, PoC есть в открытом доступе
Для срабатывания бага достаточно зайти на веб-страницу, и на компьютере выполнится вредоносный код.
#hacking #gsm #video
На популярном какнале LiveOverflow стартовала серия выпусков о хаккинге в GSM сетях и прочих телеком. технологиях.
Видео очень наглядные и познавательные, всем рекомендую.
https://www.youtube.com/watch?v=iJFnYBJJiuQ
На популярном какнале LiveOverflow стартовала серия выпусков о хаккинге в GSM сетях и прочих телеком. технологиях.
Видео очень наглядные и познавательные, всем рекомендую.
https://www.youtube.com/watch?v=iJFnYBJJiuQ
YouTube
How do SIM Cards work? - SIMtrace
In this video we use SIMtrace to intercept the communication between the phone and SIM card to understand how that works. This is part 1 in a series introducing mobile security.
buy my font (advertisement): https://shop.liveoverflow.com/
Vadim Yanitskiy:…
buy my font (advertisement): https://shop.liveoverflow.com/
Vadim Yanitskiy:…
#hacking #exploit #clientSide
В Firefox < 62.0.3 обнаружена уязвимость, приводящая к выполнению кода. Исследователи из SecuriTeam Secure Disclosure (SSD) нашли уязвимость и написали PoC для нее. См. https://blogs.securiteam.com/index.php/archives/3765
В Firefox < 62.0.3 обнаружена уязвимость, приводящая к выполнению кода. Исследователи из SecuriTeam Secure Disclosure (SSD) нашли уязвимость и написали PoC для нее. См. https://blogs.securiteam.com/index.php/archives/3765
#CTF
В эту субботу стартует M*CTF 2018. Все заинтересованные могут принять участие в отборочном туре.
Финальный оффлайн тур пройдет в ноябре среди команд участников из университетов Москвы.
Всех приглашаю принять участие в турнире. В этом году я с командой писал задачи для него, это мой первый опыт организации подобных мероприятий, поэтому будут интересны все ваши отзывы и пожелания.
https://xn--r1a.website/joinchat/DKSvCUWNXam_kHhquJ8HSw
В эту субботу стартует M*CTF 2018. Все заинтересованные могут принять участие в отборочном туре.
Финальный оффлайн тур пройдет в ноябре среди команд участников из университетов Москвы.
Всех приглашаю принять участие в турнире. В этом году я с командой писал задачи для него, это мой первый опыт организации подобных мероприятий, поэтому будут интересны все ваши отзывы и пожелания.
https://xn--r1a.website/joinchat/DKSvCUWNXam_kHhquJ8HSw
#hacking #malware
Подсказали забавный YouTube канал с троянами/вирусами и прочим всех времен. Автор собрал видео с запусками и объяснением действий различных троянских программ и вирусов.
Computer viruses, trojans, and worms in action. From digital mischief to outright destruction, I try to sample a bit of everything that made older malware (malicious software) unique from its modern day counterparts.
https://www.youtube.com/user/danooct1/videos
Подсказали забавный YouTube канал с троянами/вирусами и прочим всех времен. Автор собрал видео с запусками и объяснением действий различных троянских программ и вирусов.
Computer viruses, trojans, and worms in action. From digital mischief to outright destruction, I try to sample a bit of everything that made older malware (malicious software) unique from its modern day counterparts.
https://www.youtube.com/user/danooct1/videos
YouTube
danooct1
Computer viruses, trojans, and worms in action. From digital mischief to outright destruction, I try to sample a bit of everything that made older malware (malicious software) unique from its modern day counterparts.
Please don't distribute malware or post…
Please don't distribute malware or post…
#hacking #beginners #clientSide
URL сложнее чем кажется! Смотрите новое видео на LiveOverflow. Очень интересно рассказывает о проблемах парсинга URL и о том, что такое UXSS.
https://youtu.be/0uejy9aCNbI
URL сложнее чем кажется! Смотрите новое видео на LiveOverflow. Очень интересно рассказывает о проблемах парсинга URL и о том, что такое UXSS.
https://youtu.be/0uejy9aCNbI
YouTube
HOW FRCKN' HARD IS IT TO UNDERSTAND A URL?! - uXSS CVE-2018-6128
URLs are surprisingly hard to read.
Chrome Bug: https://bugs.chromium.org/p/chromium/issues/detail?id=841105
Orange Tsai: https://twitter.com/orange_8361
A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! - CODE BLUE: https://w…
Chrome Bug: https://bugs.chromium.org/p/chromium/issues/detail?id=841105
Orange Tsai: https://twitter.com/orange_8361
A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages! - CODE BLUE: https://w…
#hacking #LPE
Полезный ресурс со списком Unix команд (исполняемых файлов) с примерами эксплуатации их для повышения привилегий в системе.
Description:
GTFOBins is a curated list of Unix binaries that can be exploited by an attacker to bypass local security restrictions.
Спасибо, @PaHUEllo!
https://gtfobins.github.io/
Полезный ресурс со списком Unix команд (исполняемых файлов) с примерами эксплуатации их для повышения привилегий в системе.
Description:
GTFOBins is a curated list of Unix binaries that can be exploited by an attacker to bypass local security restrictions.
Спасибо, @PaHUEllo!
https://gtfobins.github.io/
#knowledge #clientSide
Отличный ресурс-шпаргалка по работе TLS протокола! Очень наглядно и понятно показывает как работает TLS в деталях. Просто посмотрите на это!
https://tls.ulfheim.net/
Отличный ресурс-шпаргалка по работе TLS протокола! Очень наглядно и понятно показывает как работает TLS в деталях. Просто посмотрите на это!
https://tls.ulfheim.net/
#hacking #PHP #LFI
Наткнулся на интересную статью о LFI через PHPINFO(). Я что-то об этом уже слышал, но сейчас закрепил знания. Также в статье приводятся примеры других способов провести LFI с исполнением произвольного кода.
Enjoy!
https://www.insomniasec.com/downloads/publications/LFI%20With%20PHPInfo%20Assistance.pdf
Наткнулся на интересную статью о LFI через PHPINFO(). Я что-то об этом уже слышал, но сейчас закрепил знания. Также в статье приводятся примеры других способов провести LFI с исполнением произвольного кода.
Enjoy!
https://www.insomniasec.com/downloads/publications/LFI%20With%20PHPInfo%20Assistance.pdf
#hacking #CTF #PHP
Write-Up на задание с HITCON CTF 2018 от Orange Tsai. Задание создано с особым подходом, в нем задействованы интереснейшие тонкости работы PHP, рекомендую ознакомиться и разобраться, узнаете много нового.
https://blog.orange.tw/2018/10/hitcon-ctf-2018-one-line-php-challenge.html
Write-Up на задание с HITCON CTF 2018 от Orange Tsai. Задание создано с особым подходом, в нем задействованы интереснейшие тонкости работы PHP, рекомендую ознакомиться и разобраться, узнаете много нового.
https://blog.orange.tw/2018/10/hitcon-ctf-2018-one-line-php-challenge.html
Orange Tsai
HITCON CTF 2018 - One Line PHP Challenge
In every year’s HITCON CTF, I will prepare at least one PHP exploit challenge which the source code is very straightforward, short and easy to review but hard to exploit! I have put all my challenges
#instruments
Крутецкий проект на GitHub подсказал @russtone: https://github.com/akavel/up
Это дебагер pipe’ов. Вы только посмотрите что он делает! (По ссылке есть гифка)
Крутецкий проект на GitHub подсказал @russtone: https://github.com/akavel/up
Это дебагер pipe’ов. Вы только посмотрите что он делает! (По ссылке есть гифка)
GitHub
GitHub - akavel/up: Ultimate Plumber is a tool for writing Linux pipes with instant live preview
Ultimate Plumber is a tool for writing Linux pipes with instant live preview - akavel/up
#knowledge #android
Продолжающийся с 2017 года цикл статей на тему детального разбора работы Android ОС. Кому интересно разобраться или узнать, что-то новое рекмендую!
Как работает Android, часть 1 - https://habr.com/company/solarsecurity/blog/334796/
Как работает Android, часть 2 - https://habr.com/company/solarsecurity/blog/338292/
Как работает Android, часть 3 - https://habr.com/company/solarsecurity/blog/338494/
Как работает Android, часть 4 - https://habr.com/company/solarsecurity/blog/427431/
Продолжающийся с 2017 года цикл статей на тему детального разбора работы Android ОС. Кому интересно разобраться или узнать, что-то новое рекмендую!
Как работает Android, часть 1 - https://habr.com/company/solarsecurity/blog/334796/
Как работает Android, часть 2 - https://habr.com/company/solarsecurity/blog/338292/
Как работает Android, часть 3 - https://habr.com/company/solarsecurity/blog/338494/
Как работает Android, часть 4 - https://habr.com/company/solarsecurity/blog/427431/
Habr
Как работает Android, часть 1
В этой серии статей я расскажу о внутреннем устройстве Android — о процессе загрузки, о содержимом файловой системы, о Binder и Android Runtime, о том, из чего состоят, как устанавливаются,...