Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥25😁6⚡3
Попались на удочку: как мы заплатили 100 тысяч рублей за фишинг
#недопустимое_событие #innostage #фишинг
➡️ Данная статья написана в виду того, что одному из нашего комьюнити удалось всё таки зафишить Innostage. А как и что компания делала, вы узнаете далее)
Сейчас в программе открытых кибериспытаний Innostage есть одно главное недопустимое событие и три промежуточных с меньшим вознаграждением. И вот 19 июля этичный хакер prorok забрал положенные 100 тысяч рублей за компрометацию учётной записи. Как ему удалось это сделать? Рассказываем подробнее.
Чтобы забраться к нам в инфраструктуру, prorok использовал старый добрый фишинг.
➡️ Читать далее
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
#недопустимое_событие #innostage #фишинг
Сейчас в программе открытых кибериспытаний Innostage есть одно главное недопустимое событие и три промежуточных с меньшим вознаграждением. И вот 19 июля этичный хакер prorok забрал положенные 100 тысяч рублей за компрометацию учётной записи. Как ему удалось это сделать? Рассказываем подробнее.
Чтобы забраться к нам в инфраструктуру, prorok использовал старый добрый фишинг.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12😁2👍1
Горы, море, кибербез
В сентябре CISO со всей страны соберутся в ландшафтах Красной Поляны, чтобы прокачать скиллы по кибербезопасности и поучаствовать в крутом нетворкинге на интенсиве Код ИБ ПРОФИ I Сочи!
🗓 12–15 сентября 2024
📍 Сочи, курорт Красная Поляна, отель Панорама by Mercure (ул. Февральская д. 1)
Проведите четыре красочных дня в окружении единомышленников, которые хотят эффективно защищать организации от кибератак.
К нам присоединятся представители топовых компаний: Газпром, Совкомбанк, Финстар Банк, МФК "Честное слово", Магнит, ВСМПО-АВИСМА, ОКБМ Африкантов и многие другие.
Что вас ждет?
⚡️ два дня деловой программы: эксперты из СберТеха, Т-Банка, VK, Health & Nutrition (Ранее Danone) представят уникальные доклады, основанные на личном опыте
⚡️ не только ценные знания, но и практические инструменты: шаблоны документов, чек-листы, регламенты — все, что можно внедрить в работу прямо сейчас. Кстати, все доклады мы запишем, вы сможете к ним вернуться или показать коллегам
⚡️ два дня приключений: подъем в горы, поход по Хребту Аибга, морская прогулка, караоке, баня… и это не весь список активностей!
⚡️ расширение профессиональных границ: инсайты на кулуарных встречах, обмен опытом и контактами
Более подробную программу интенсива смотрите на сайте Код ИБ. Цена билета повысится с 12 августа, успевайте!
Ждем встречи в Сочи! На фото смотрите, как ярко прошел ПРОФИ в прошлом году 📸🔥
В сентябре CISO со всей страны соберутся в ландшафтах Красной Поляны, чтобы прокачать скиллы по кибербезопасности и поучаствовать в крутом нетворкинге на интенсиве Код ИБ ПРОФИ I Сочи!
🗓 12–15 сентября 2024
📍 Сочи, курорт Красная Поляна, отель Панорама by Mercure (ул. Февральская д. 1)
Проведите четыре красочных дня в окружении единомышленников, которые хотят эффективно защищать организации от кибератак.
К нам присоединятся представители топовых компаний: Газпром, Совкомбанк, Финстар Банк, МФК "Честное слово", Магнит, ВСМПО-АВИСМА, ОКБМ Африкантов и многие другие.
Что вас ждет?
⚡️ два дня деловой программы: эксперты из СберТеха, Т-Банка, VK, Health & Nutrition (Ранее Danone) представят уникальные доклады, основанные на личном опыте
⚡️ не только ценные знания, но и практические инструменты: шаблоны документов, чек-листы, регламенты — все, что можно внедрить в работу прямо сейчас. Кстати, все доклады мы запишем, вы сможете к ним вернуться или показать коллегам
⚡️ два дня приключений: подъем в горы, поход по Хребту Аибга, морская прогулка, караоке, баня… и это не весь список активностей!
⚡️ расширение профессиональных границ: инсайты на кулуарных встречах, обмен опытом и контактами
Более подробную программу интенсива смотрите на сайте Код ИБ. Цена билета повысится с 12 августа, успевайте!
Ждем встречи в Сочи! На фото смотрите, как ярко прошел ПРОФИ в прошлом году 📸🔥
👍12🔥2😁2
Forwarded from Блог Kaimi & d_x
Эксплуатация состояния гонки в «тапалках» в Telegram
https://kaimi.io/2024/08/exploit-race-condition-in-telegram-mini-apps/
https://kaimi.io/2024/08/exploit-race-condition-in-telegram-mini-apps/
Misc
Эксплуатация состояния гонки в «тапалках» в Telegram - Misc
Эксплуатация состояния гонки (race condition) в ‘тапалках’ в Telegram Mini Apps (Blum, CalmMe и других)
👍6🔥2
Forwarded from Хакер — Xakep.RU
Samsung расширяет свою программу bug bounty, увеличивая выплаты до 1 000 000 долларов
Компания Samsung запускает новую программу bug bounty для своих мобильных устройств. Вознаграждение за обнаружение критических уязвимостей может достигать 1 000 000 долларов США.
https://xakep.ru/2024/08/08/important-scenario-vulnerability-program/
Компания Samsung запускает новую программу bug bounty для своих мобильных устройств. Вознаграждение за обнаружение критических уязвимостей может достигать 1 000 000 долларов США.
https://xakep.ru/2024/08/08/important-scenario-vulnerability-program/
👍10🔥1
Взлом ИИ (jailbreak): как обходятся фильтры
#ИИ #jailbreak #bypass
Атаки и методы взлома продолжают эволюционировать и следовать за технологиями. Развитие AI принесло с собой совершенно новые вызовы, с которыми мы не сталкивались ранее. Технологии, которые должны были облегчить жизнь и повысить ее качество, становятся объектами и целями для злоумышленников, стремящихся найти и использовать уязвимости в системах ИИ.
Мы вошли в новую эпоху безопасности, где старые методы защиты уже не работают. С каждым днем появляются новые способы взлома, обхода фильтров защит, и специалисты по кибербезопасности должны постоянно адаптироваться к меняющемуся ландшафту угроз.
Статья от уважаемого админа CakesCats и моих друзей😎 CyberMedia :)
https://securitymedia.org/info/vzlom-ii-jailbreak-kak-obkhodyatsya-filtry.html
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
#ИИ #jailbreak #bypass
Атаки и методы взлома продолжают эволюционировать и следовать за технологиями. Развитие AI принесло с собой совершенно новые вызовы, с которыми мы не сталкивались ранее. Технологии, которые должны были облегчить жизнь и повысить ее качество, становятся объектами и целями для злоумышленников, стремящихся найти и использовать уязвимости в системах ИИ.
Мы вошли в новую эпоху безопасности, где старые методы защиты уже не работают. С каждым днем появляются новые способы взлома, обхода фильтров защит, и специалисты по кибербезопасности должны постоянно адаптироваться к меняющемуся ландшафту угроз.
Статья от уважаемого админа CakesCats и моих друзей
https://securitymedia.org/info/vzlom-ii-jailbreak-kak-obkhodyatsya-filtry.html
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥12
Официально планка в 10.000 подписчиков пробита. Пока очень активно занимаюсь монтажом выпуска, поэтому пост красивый напишу потом.
Пока что просто скажу всем, что вы красавчики, без вас не было бы такого стойкого сообщества, которое стало таким живым и большим за последний год. Всех люблю❤️ А хейтеров ещё больше :)
p.s. дабы не было вопросов. Подавать в РКН буду в следующем году, я не анонимная личность последние 2 года, поэтому смысла прятаться не вижу
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
Пока что просто скажу всем, что вы красавчики, без вас не было бы такого стойкого сообщества, которое стало таким живым и большим за последний год. Всех люблю
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥54😁11👍6
Forwarded from PT SWARM
🥷🏻 DEFCON 32 is over and you can find the links on the interesting researches (in our view) below:
🛑 SQL Injection Isn't Dead. Smuggling Queries at the Protocol Level
🛑 A TWO-PART SAGA: CONTINUING THE JOURNEY OF HACKING MALWARE C2S
🛑 Outlook Unleashing RCE Chaos: CVE-2024-30103 & CVE-2024-38021
🛑 Gotta Cache ‘em all: Bending the rules of web cache exploitation
🛑 NTLM: the last ride
🛑 HookChain: a new perspective for Bypassing EDR Solutions
🛑 sshamble: Unexpected Exposures in SSH
🛑 MaLDAPtive LDAP Obfuscation Deobfuscation and Detection
🛑 Iconv, set the charset to RCE: exploiting the glibc to hack the PHP engine
🛑 Techniques for Creating Process Injection Attacks with Advanced Return-Oriented Programming
All presentations from DEFCON32: https://media.defcon.org/DEF%20CON%2032/DEF%20CON%2032%20presentations/
All presentations from DEFCON32: https://media.defcon.org/DEF%20CON%2032/DEF%20CON%2032%20presentations/
Please open Telegram to view this post
VIEW IN TELEGRAM
🌚3
Что будет с Bug Bounty в 2025 году? Андрей Лёвкин BI.ZONE Bug Bounty
#bugbounty #багбаунти #bizone
Третий выпуск Poxek Podcast с Андреем Лёвкиным, product owner'ом BI.ZONE BugBounty и естественно мы обсудили насущные проблемы в багбаунти и вообще получилось очень душевно)
Вот что там обсудили:
➡️ История Андрея. Из Пентестера в Продукт Овнера
➡️ Багбаунти 2025
➡️ Пентест VS Багбаунти. Почему оба процессы важны
➡️ Ивенты для багхантеров
➡️ Инсайды развития багбаунти сферы
➡️ Пожелания Андрея по развитию багбаунти в РФ
Если вы багхантер, пентестер или вам интересна тема багбаунти и кибербезопасности, слушайте подкаст на любимых платформах:
📹 YouTube
📺 RuTube
💙 VK Видео
🎵 Apple Podcasts
🎵 Яндекс.Музыка
☕️ Mave
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
#bugbounty #багбаунти #bizone
Третий выпуск Poxek Podcast с Андреем Лёвкиным, product owner'ом BI.ZONE BugBounty и естественно мы обсудили насущные проблемы в багбаунти и вообще получилось очень душевно)
Вот что там обсудили:
Если вы багхантер, пентестер или вам интересна тема багбаунти и кибербезопасности, слушайте подкаст на любимых платформах:
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👍3
DevSecOps Assessment Framework (DAF)
#devsecops #assesment
Есть множество полезных фреймворков, позволяющих оценить процессы безопасной разработки, например, SAMM, BSIMM, DSOMM, MSDL. Также есть лучшие практики, бенчмарки, рекомендуемые подходы к защите контейнеров и сред контейнерной оркестрации, такие как NSA Kubernetes Hardening Guide, или, например CIS for Kubernetes. Помимо этого, существует множество инструментов, повышающих защищенность при формировании и совершенствовании процессов DevSecOps (SAST, DAST, SCA, Container security, Secret management и другие) со своими рекомендациями по настройкам и их использованию. Но нет чего-то одного, описывающего, что конкретно и в какой последовательности нужно делать, чтобы выстроить процесс безопасной разработки, а также чтобы объективно оценить существующий уровень зрелости безопасной разработки и понять, куда двигаться дальше.
Эту проблему призван решить DevSecOps Assessment Framework (DAF). Он включает в себя не просто набор рекомендаций и лучших подходов из разных областей DevSecOps, но еще и большой экспертный опыт нашего сообщества, структурированный и адаптированный под современные реалии. Некоторые практики из общеизвестных фреймворков не добавлены в DAF, но при этом сформированы новые и более детальные. Все модели, домены, поддомены и практики описаны понятным языком во избежание двусмысленностей и разных толкований.
💻 Github repo
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
#devsecops #assesment
От себя скажу сразу, что пока не тестил, но хорошие знакомые сказали, что штука годная. Если выбираете какой фреймворк использовать, можете начать обкатку с этого. Если что, в чате есть несколько Джетовцев, можно будет направить вопрос в нужный отдел)
Есть множество полезных фреймворков, позволяющих оценить процессы безопасной разработки, например, SAMM, BSIMM, DSOMM, MSDL. Также есть лучшие практики, бенчмарки, рекомендуемые подходы к защите контейнеров и сред контейнерной оркестрации, такие как NSA Kubernetes Hardening Guide, или, например CIS for Kubernetes. Помимо этого, существует множество инструментов, повышающих защищенность при формировании и совершенствовании процессов DevSecOps (SAST, DAST, SCA, Container security, Secret management и другие) со своими рекомендациями по настройкам и их использованию. Но нет чего-то одного, описывающего, что конкретно и в какой последовательности нужно делать, чтобы выстроить процесс безопасной разработки, а также чтобы объективно оценить существующий уровень зрелости безопасной разработки и понять, куда двигаться дальше.
Эту проблему призван решить DevSecOps Assessment Framework (DAF). Он включает в себя не просто набор рекомендаций и лучших подходов из разных областей DevSecOps, но еще и большой экспертный опыт нашего сообщества, структурированный и адаптированный под современные реалии. Некоторые практики из общеизвестных фреймворков не добавлены в DAF, но при этом сформированы новые и более детальные. Все модели, домены, поддомены и практики описаны понятным языком во избежание двусмысленностей и разных толкований.
В открытый доступ выложены не все наши наработки по DAF. Но мы считаем, что основная часть фреймворка DAF все же должна быть публичным достоянием
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥10👍2
Forwarded from OFFZONE
Проявите фантазию и сделайте что-то поистине необычное. Даем вам полную свободу действий!
Для участия нужно:
20 августа объявим здесь пять победителей, которым отправим мерчпаки с футболками и другими приятными плюшками.
Please open Telegram to view this post
VIEW IN TELEGRAM
Черные RCE для сердца закончились. Сегодня оформил заказ ещё на 8 штук, по 3 xl/xxl и m/l, а также 2 xs/s.
Поговаривают, что на собесе футболка XSS & SQLi даёт +10.000 к зп, а за Багхантерский Забив Чаши можно получить респект на всех приватных ИБ мероприятиях 🌚
Заказать или оставить предзаказ здеся:
https://poxek-shop.ru/
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
Поговаривают, что на собесе футболка XSS & SQLi даёт +10.000 к зп, а за Багхантерский Забив Чаши можно получить респект на всех приватных ИБ мероприятиях 🌚
Заказать или оставить предзаказ здеся:
https://poxek-shop.ru/
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥15😁4
У моих друзей через 2 часа будет открытый вебинар о Pentest от экспертов из F.A.C.C.T, GroupIB, Innostage. Он будет на тему: «Профессии Red Team: выбираем сторону нападения. Pentest. Навыки, обычный рабочий день и обязанности специалиста», на котором мы подробно разберем:
- исторический контекст и эволюцию концепции Red Team
- цели и задачи Red Team в организации
- ethical hacker, pentester, bughunter и др профессии
- навыки для работы в red team
- пример трека развития специалиста
- с чего начать карьеру и где искать вакансии.
После вебинара желающие смогут попробовать себя в роли пентестера + построить свою карту развития хард и софт скиллс!
Спикеры:
Александр:
Старший специалист по анализу защищенности в компании Innostage
Занимается проведением Red Team / Pentest
Специализация: OSINT
В свободное время разрабатывает ИБ продукты
Pandora:
Cybercrime Investigator и Product Owner в компании Group-IB
Community Lead в OSINT Mindset
Ульяна:
HR компании-вендора продуктов ИБ F.A.C.C.T.
Занимается привлечением талантов в кибербез
Настя:
основатель образовательного консалтинга в it и проекта «оффер в иб»
Не пропусти и скорее записывайся! Для этого, напиши @aa_belova
Я тоже приду послушать коллег. Интересно, что расскажут)
- исторический контекст и эволюцию концепции Red Team
- цели и задачи Red Team в организации
- ethical hacker, pentester, bughunter и др профессии
- навыки для работы в red team
- пример трека развития специалиста
- с чего начать карьеру и где искать вакансии.
После вебинара желающие смогут попробовать себя в роли пентестера + построить свою карту развития хард и софт скиллс!
Спикеры:
Александр:
Старший специалист по анализу защищенности в компании Innostage
Занимается проведением Red Team / Pentest
Специализация: OSINT
В свободное время разрабатывает ИБ продукты
Pandora:
Cybercrime Investigator и Product Owner в компании Group-IB
Community Lead в OSINT Mindset
Ульяна:
HR компании-вендора продуктов ИБ F.A.C.C.T.
Занимается привлечением талантов в кибербез
Настя:
основатель образовательного консалтинга в it и проекта «оффер в иб»
Не пропусти и скорее записывайся! Для этого, напиши @aa_belova
Я тоже приду послушать коллег. Интересно, что расскажут)
🔥14😁2
Forwarded from 1N73LL1G3NC3
QRucible
A tiny Python utility that generates "imageless" QR codes in various formats and obfuscates keywords in emails by illustrating them using tables. This is useful for evading keyword-based and AI-assisted QR code phishing-specific detections.
Blog: https://flangvik.com/posts/2024-06-13-pixelless-qr-codes-with-qrucible/
A tiny Python utility that generates "imageless" QR codes in various formats and obfuscates keywords in emails by illustrating them using tables. This is useful for evading keyword-based and AI-assisted QR code phishing-specific detections.
Blog: https://flangvik.com/posts/2024-06-13-pixelless-qr-codes-with-qrucible/
🔥8👾1
Forwarded from Поросёнок Пётр
Когда-то писал гайд о том как собрать iphone без ssl pinning. И вот случился момент, когда тестовое приложение не может работать ниже ios 16. Пришлось суетить. На помощь пришел старенький iphoneX. Оказывается его можно сделать rootfull практически без боли и страданий.
1) Берем iphone X. И обновляем до последней версии ios 16.7.10 стандартным обновлением. Можно и вручную накатить последнюю подписанную версию https://ipsw.me/
2) Дальше берем Macbook с разъемом usb-A и подключаем iphone через lightning провод. Пришлось поискать оригинальный.
3) После ставим Palera1n по инструкции на компьютер.
4) Запускаем в режиме palera1n -cf следуя инстркциям по зажиманию клавиш телефона. Потом мне еще потребовалось повторить palera1n -f.
5) Айфон получил palera1n app и возможность установить Sileo package manager.
6) Качаем последний релиз ssl-kill-switch3 , открываем через Sileo и выполняем установку пакета.
7) Ставим бурповый сертификат из http://bupr
Буквально спустя пару часов нашел critical. Все было не зря 🦾
1) Берем iphone X. И обновляем до последней версии ios 16.7.10 стандартным обновлением. Можно и вручную накатить последнюю подписанную версию https://ipsw.me/
2) Дальше берем Macbook с разъемом usb-A и подключаем iphone через lightning провод. Пришлось поискать оригинальный.
3) После ставим Palera1n по инструкции на компьютер.
4) Запускаем в режиме palera1n -cf следуя инстркциям по зажиманию клавиш телефона. Потом мне еще потребовалось повторить palera1n -f.
5) Айфон получил palera1n app и возможность установить Sileo package manager.
6) Качаем последний релиз ssl-kill-switch3 , открываем через Sileo и выполняем установку пакета.
7) Ставим бурповый сертификат из http://bupr
Буквально спустя пару часов нашел critical. Все было не зря 🦾
1👍15👾3🔥1
Forwarded from haxx
Media is too big
VIEW IN TELEGRAM
Всем привет. Выпустил в паблик Sploitify (https://sploitify.haxx.it) - агрегатор эксплойтов/поков/райтапов с тегами по уязвимостям. Что-то вроде GTFOBins, но для эксплойтов. Сейчас в нем можно найти чекеры от nuclei (тысячи их), некоторые эксплойты на эскалацию привилегий и удаленное выполнение кода в винде и никсах. Еще много чего добавлять, но пользоваться уже можно. Надеюсь пригодится и сделает вашу жизнь немножко легче, по крайней мере такая была цель :)
51👍54🔥6