#pentest #bugbounty #practice
Kontra OWASP Top 10 — это коллекция бесплатных интерактивных руководств о наиболее популярных уязвимостях и некоторых инцидентах безопасности.
Разработчики данных тренингов считают, что каждый инженер-программист должен иметь бесплатный доступ к обучению безопасной разработке. Kontra OWASP Top 10 — их первый шаг в этом направлении.
Вдохновленные реальными уязвимостями и тематическими исследованиями, они создали серию интерактивных учебных модулей по безопасности приложений, чтобы помочь разработчикам понять, выявить и уменьшить проблемы безопасности в своих приложениях.
Красиво, кликабельно, наглядно: https://proglib.io/w/26094237
Kontra OWASP Top 10 — это коллекция бесплатных интерактивных руководств о наиболее популярных уязвимостях и некоторых инцидентах безопасности.
Разработчики данных тренингов считают, что каждый инженер-программист должен иметь бесплатный доступ к обучению безопасной разработке. Kontra OWASP Top 10 — их первый шаг в этом направлении.
Вдохновленные реальными уязвимостями и тематическими исследованиями, они создали серию интерактивных учебных модулей по безопасности приложений, чтобы помочь разработчикам понять, выявить и уменьшить проблемы безопасности в своих приложениях.
Красиво, кликабельно, наглядно: https://proglib.io/w/26094237
Kontra
Application Security Training For Developers | Kontra
Kontra is an Application Security Training platform built for modern development teams.
#pentest #bugbounty #cheatsheet
Шпаргалки по веб-безопасности, охватывающие следующие темы: Angular, React, OAuth 2.0, JWT и безопасное хранение данных в браузере.
Шпаргалки по веб-безопасности, охватывающие следующие темы: Angular, React, OAuth 2.0, JWT и безопасное хранение данных в браузере.
#pentest
Две удивительные истории про взлом инфраструктуры РЖД, о прочтении которых вы не пожалеете:
🚉Самый беззащитный — это Сапсан
🚇Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Две удивительные истории про взлом инфраструктуры РЖД, о прочтении которых вы не пожалеете:
🚉Самый беззащитный — это Сапсан
🚇Самый беззащитный — уже не Сапсан. Всё оказалось куда хуже…
Хабр
Самый беззащитный — это Сапсан
Был я как-то на ZeroNights, это очередная конференция по информационной безопасности, которая в этом году была совсем шлаком. Там я хотел как всегда что-либо...
#security #pentest
Специалисты из Detectify проанализировали почти 50 000 уникальных файлов конфигурации Nginx, загруженных с GitHub с помощью Google BigQuery. С помощью собранных данных им удалось выяснить, какие ошибки в конфигурациях встречаются чаще всего. В результате получилась полезная статья, которая раскрывает следующие неправильные настройки Nginx:
- Отсутствие корневого каталога
- Небезопасное использование переменных
- Чтение необработанного ответа сервера
- merge_slashes отключены
Но история на этом не закончилась. Проект Gixy помог найти множество неправильных конфигураций промежуточного ПО. Ознакомиться можно здесь.
Специалисты из Detectify проанализировали почти 50 000 уникальных файлов конфигурации Nginx, загруженных с GitHub с помощью Google BigQuery. С помощью собранных данных им удалось выяснить, какие ошибки в конфигурациях встречаются чаще всего. В результате получилась полезная статья, которая раскрывает следующие неправильные настройки Nginx:
- Отсутствие корневого каталога
- Небезопасное использование переменных
- Чтение необработанного ответа сервера
- merge_slashes отключены
Но история на этом не закончилась. Проект Gixy помог найти множество неправильных конфигураций промежуточного ПО. Ознакомиться можно здесь.
Хабр
Частые ошибки в настройках Nginx, из-за которых веб-сервер становится уязвимым
Nginx — это веб-сервер, на котором работает треть всех сайтов в мире. Но если забыть или проигнорировать некоторые ошибки в настройках, можно стать отличной мише...
#pentest #bugbounty
Запись вебинара про анализ исходного кода приложения на уязвимости. Данный вебинар доказывает, что анализ кода является одним из самых важных этапов в пентесте, который ни в коем случае нельзя списывать со счетов.
https://proglib.io/w/4cad5404
Запись вебинара про анализ исходного кода приложения на уязвимости. Данный вебинар доказывает, что анализ кода является одним из самых важных этапов в пентесте, который ни в коем случае нельзя списывать со счетов.
https://proglib.io/w/4cad5404
YouTube
How to Analyze Code for Vulnerabilities
▬▬▬▬▬▬ TIMESTAMPS ⏰ ▬▬▬▬▬▬
00:07:35 Vickie starts her presentation
▬▬▬▬▬▬ ABSTRACT & BIO 📝 ▬▬▬▬▬▬
Writing code is hard. Writing secure code is even harder. Serious security vulnerabilities often stem from small programming mistakes.
As developers…
00:07:35 Vickie starts her presentation
▬▬▬▬▬▬ ABSTRACT & BIO 📝 ▬▬▬▬▬▬
Writing code is hard. Writing secure code is even harder. Serious security vulnerabilities often stem from small programming mistakes.
As developers…
#pentest
Качественное описание основных навыков и компетенций, которыми должен обладать профессиональный пентестер или этичный хакер.
https://proglib.io/w/72da8bb3
Качественное описание основных навыков и компетенций, которыми должен обладать профессиональный пентестер или этичный хакер.
https://proglib.io/w/72da8bb3
#research #pentest #bugbounty
Пожалуй, одно из лучших руководств по поиску уязвимостей методом белого ящика.
https://proglib.io/w/110b7fc3
Пожалуй, одно из лучших руководств по поиску уязвимостей методом белого ящика.
https://proglib.io/w/110b7fc3
Boku
Beginners Guide to 0day/CVE AppSec Research
#bugbounty #pentest #practice #learning
Введение в современную веб-разработку
Подобные видеоуроки полезны для новичков в охоте за ошибками, т. к. охватывают прошлую и настоящую картину веба, в частности: микросервисы, ООП, MVC, фреймворки, middleware и многое другое. И почему же уязвимости вроде SQL-инъекций встречаются реже? Все ответы в видеоуроке.
https://proglib.io/w/dbed1735
Введение в современную веб-разработку
Подобные видеоуроки полезны для новичков в охоте за ошибками, т. к. охватывают прошлую и настоящую картину веба, в частности: микросервисы, ООП, MVC, фреймворки, middleware и многое другое. И почему же уязвимости вроде SQL-инъекций встречаются реже? Все ответы в видеоуроке.
https://proglib.io/w/dbed1735
YouTube
Katie Explains: Modern Web Development (GIVEAWAY)
I often tell people not to focus too much on CTFs or challenges on Twitter, but why? Well modern web dev has come a long way and many challenges just aren't realistic to what the modern web looks like. In this video I'll be breaking down these changes and…
#pentest #redteam
Обзор популярных обучающих видеокурсов на YouTube про пентест и этичный хакинг.
https://proglib.io/w/f751c0ce
Обзор популярных обучающих видеокурсов на YouTube про пентест и этичный хакинг.
https://proglib.io/w/f751c0ce
Хабр
Ontol про пентест и этичное хакерство: подборка лучших бесплатных курсов на YouTube
Анджелина как бы намекает, что пора стать этичным хакером. Чтобы YouTube не банил обучающие курсы по хакерству, их назвали курсами этичного хакерства. Этичный хакер — это добрый и пушистый, очень...
Подборка книжных бестселлеров по этичному взлому с помощью популярных ЯП:
➖Black Hat Go
➖Black Hat Python
➖Black Hat Rust
➖Black Hat Go
➖Black Hat Python
➖Black Hat Rust
Telegram
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность
#book #pentest #bugbounty
Black Hat Go
Go Programming for Hackers and Pentesters (2020)
Авторы: Tom Steele, Chris Patten, Dan Kottmann
Как и бестселлер Black Hat Python, Black Hat Go исследует темную сторону популярного языка программирования Go.
Книга…
Black Hat Go
Go Programming for Hackers and Pentesters (2020)
Авторы: Tom Steele, Chris Patten, Dan Kottmann
Как и бестселлер Black Hat Python, Black Hat Go исследует темную сторону популярного языка программирования Go.
Книга…