🥷 DLL Sideloading — метод, позволяющий выполнять кастомный вредоносный код из легитимных (возможно, даже подписанных) бинарных файлов/процессов Windows.
Под катом вас ждет отличное введение в данную тему. Оно обобщает различия между такими понятиями, как hijacking, sideloading, proxying и т. д.
👉 Читать
#redteam #tools #security
❗Вакансии «Библиотеки программиста» — ждем вас в команде!
Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉контент-менеджеров для ведения телеграм-каналов
👉Переводчик и автор оригинальных статей
Подробности тут
Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴
Ждем ваших откликов 👾
🥷☁️ RCE в Managed ClickHouse глазами специалиста SOC в Yandex Cloud
Вадим Осипов (security‑инженер в команде Yandex Cloud) и Дмитрий Руссак (тимлид команды SOC‑инжиниринга) рассказывают про безопасность managed-сервисов и RCE в Managed ClickHouse в Yandex Cloud.
Здесь интересны не только поиск и эксплуатация уязвимости, но и принцип построения облаков👇
🔗 Читать
#cloud #pentest
🤩 OSINT For Everything — коллекция инструментов OSINT, ресурсов по пентесту, реверсу, red team, разведке, bugbounty и многому другому. Все самое нужное в одном репозитории!
👉 GitHub
#awesome
🥷 Ruby-SAML / GitLab Authentication Bypass (CVE-2024-45409)
Зачем изучать различные CVE? Хотя бы за тем, чтобы расширить кругозор в нашем сложном ремесле и понимать предпосылки возникновения багов. Сегодня для вас очередная критическая уязвимость в GitLab, позволяющая обойти механизмы аутентификации SAML и получить несанкционированный доступ, используя недостаток в обработке ответов SAML.
👉 Читать
#CVE #writeup
🔍 Merklemap — новый поисковый движок по поддоменам и сертификатам SSL/TLS. Самое то, когда нужна быстрая пассивная разведка.
Пример:
=example.com, *ex*mple*, *.example.com
Самые полезные каналы для программистов в одной подборке!
Сохраняйте себе, чтобы не потерять 💾
🔥Для всех
Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
Азбука айтишника — здесь мы познаем азы из мира программирования
🤖Про нейросети
Библиотека робототехники и беспилотников | Роботы, ИИ, интернет вещей
Библиотека нейрозвука | Транскрибация, синтез речи, ИИ-музыка
Библиотека нейротекста | ChatGPT, Gemini, Bing
Библиотека нейровидео | Sora AI, Runway ML, дипфейки
Библиотека нейрокартинок | Midjourney, DALL-E, Stable Diffusion
#️⃣C#
Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel
☁️DevOps
Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
🐘PHP
Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты
🐍Python
Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты
☕Java
Книги для джавистов | Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков
👾Data Science
Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту
🦫Go
Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go
🧠C++
Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++
💻Другие каналы
Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
Библиотека разработчика игр | Gamedev, Unity, Unreal Engine
📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈
Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT
Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *
* Организация Meta запрещена на территории РФ
🤯 Что вам помогает работать, когда устаете? Когда в отпуск ну вообще никак, а сил уже нет.
💬 Может быть, чтение отвлеченной литературы, спорт, дневной сон, прогулки, встречи с друзьями, что-то ещё?
#интерактив
Опрос «Как вы учитесь с помощью телефона: поделитесь своим опытом!»
Дорогие подписчики, мы на миссии улучшений, и вы — наш ключ! 🔑
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
🐬 Не Flipper Zero единым: хакерский мультитул из старого смартфона
Какая альтернатива может быть у знаменитого пентестерского тулкита? Вполне себе достойная.
У каждого из нас наверняка найдется какой-нибудь слегка устаревший смартфон на Android — это и есть тот самый портативный компьютер с кучей интерфейсов и вполне понятной процедурой подключения дополнительных устройств.
О том, как превратить смартфон на Android в инструмент для пентестера, читайте под катом👇
👉 Читать
#pentests #fun
⚒️ Подробное руководство по работе с RustScan
Среди множества доступных вариантов Rustscan выделяется своей скоростью, эффективностью и универсальностью, которые отличают его от традиционных инструментов вроде Nmap.
👉 Читать гайд
#tools #recon
📚 Грокаем безопасность веб-приложений, Малколм Макдональд
🔜 Совсем скоро! Книга появится уже в начале следующего года и перевернёт ваше представление о веб-безопасности.
Хотите узнать, как думают настоящие хакеры? Малколм Макдональд готов раскрыть все карты в своей новой книге. Эта книга станет вашим персональным гидом по веб-безопасности с конкретными примерами и проверенными советами от профессионала. Вы не только узнаете, какие уязвимости могут подстерегать ваши приложения, но и научитесь предотвращать их на самых ранних этапах разработки.
🔐 Что вы узнаете:
- Понимание мотивации хакеров 💻
- Инструменты для выявления уязвимостей 🛠
- Советы по созданию безопасного жизненного цикла разработки 🔄
Будьте готовы к погружению в мир безопасности, где каждый пример — это шаг к созданию непробиваемого приложения.
🍇 Подборка лучших статей «Библиотеки программиста» за сентябрь: сохраняй в заметки, чтобы не пропустить #самыйсок
😮 SQL: от Тетриса до ИИ — неожиданные возможности языка баз данных
⚛️🔄 Улучшенная обработка асинхронных операций в React 19
🔟🏩 ТОП-10 перспективных студий разработки: лучшие компании для вашего карьерного роста
🏗 3 основных шаблона событийно-ориентированной архитектуры
🐘🔧 Расширение pg_variables: мощная альтернатива временным таблицам в PostgreSQL
👍 25 полезных HTML тегов, элементов и атрибутов, которые должен знать каждый фронтендер
🚀 Продвинутый TypeScript: 15 приемов для создания надежного кода
🛠 Сага: эффективный шаблон микросервисной архитектуры
🏃 Самоучитель по Go для начинающих. Часть 16. Тестирование кода и его виды. Table-driven подход. Параллельные тесты
💡🎨 Источники вдохновения для UI/UX-дизайнеров и фронтендеров: 50 полезных ресурсов
🔥 Интересуетесь исследованием безопасности WordPress?
ИБ-исследователь Ananda Dhakal рассказывает о своей методике поиска неаутентифицированной SQL-инъекции в WordPress-плагине TI WooCommerce Wishlist.
👉 Читать
#pentest #bugbounty #bestpractices
🔥 Fortinet FortiGate CVE-2024-23113: суперсложная уязвимость в суперзащищенном устройстве в 2024 году
Исследователи из лаборатории Watchtowr обнаружили очередную уязвимость в SSL VPN.
👉 Читать райтап
#writeup #CVE
📨 Как работают очереди и брокеры сообщений
Очередь сообщений — структура данных, которая хранит сообщения в порядке FIFO. Представьте, что вашему приложению нужно обрабатывать файлы, которые загружают пользователи. Очередь сообщений в этом случае может выступать как очередь задач, обрабатывающая задания асинхронно:
1️⃣ Пользователь загружает большой файл для обработки.
2️⃣ Веб-сервер принимает файл и создает задание.
3️⃣ Задание добавляется в очередь задач, а файл загружается в объектное хранилище.
4️⃣ Позже рабочий процесс забирает задания из очереди одно за другим и обрабатывает их, получая файл из хранилища.
Это самый простой пример. Очереди сообщений можно использовать для:
✔️ Планирования и управления фоновыми задачами.
✔️ Распределения задач между несколькими рабочими процессами.
✔️ Управления сервисами подписки и уведомлений.
✔️ Буферизации данных.
✔️ Повторных попыток обработки платежей и многого другого.
Подробнее читайте в нашем гайде 👇
🔗 Читать статью
🔗 Зеркало
🤯 Ситуация:
Вам поступает задача, вы на глаз оцениваете ее в две недели и получаете одобрение по срокам. Сначала все идет хорошо, пилите проект и ничто не предвещает беды.
Со временем задача усложняется, потому что данные приходят с задержками и вразнобой. Вы не делитесь с руководителем своими трудностями, потому что тогда это можно посчитать за некомпетентность.
А когда приходит время сдачи работы, выясняется, что большинство работы сделано неправильно.
💬 Как думаете, как стоило поступить исполнителю?
🤔 Загрузить веб-шелл с помощью функционала загрузки картинки? Не бред, а реальность. Не так часто встретишь в реальных веб-приложениях, но технику знать обязательно надо!
#bugbounty #tips
🔥 Red, blue и purple AI
Jason Haddix показал сокращенный формат своего ИИ-тренинга на OWASP AppSec San Francisco. Речь пойдет не о будущем ИИ и машинного обучения, а о конкретных стратегиях и методах, которые можно применить для усиления работы вашей команды по безопасности.
👉 Смотреть
#ai #redteam #blueteam
🤯 1 уязвимость, более 50 тысяч долларов в качестве вознаграждения: как Zendesk оставил бэкдор в сотнях компаний из списка Fortune 500
15-летний разработчик и иногда багхантер провел блестящее исследование, за которое команда Zendesk отказалась платить вознаграждение. Упомянутые выше выплаты — от других компаний, использующих Zendesk. Вот такая странная история с интересными техническими подробностями👇
👉 Читать
#pentest #bugbounty
🔍 Поиск 0-day в TeamViewer
Серия статей для этичного хакера, посвященная поиску уязвимости local priviledge escalation в TeamViewer для Windows.
▫️ PoC
▪️ Часть 1
▪️ Часть 2
▪️ Часть 3
#pentest #redteam
🪳 Методология баг-баунти: гайд для охотников за ошибками
Вы — начинающий этичный хакер или уже нашли несколько багов, но хотите сделать свой подход к багбаунти более последовательным и систематичным? Тогда эта методология для вас. Вы узнаете про несколько важных компонентов:
• Инструменты: чем пользуется хакер, чтобы атаковать цель?
• Образ мышления: насколько настойчив хакер? Как хакер преодолевает ментальные барьеры?
• Подход к работе. Некоторые хакеры используют чек-листы, другие руководствуются собственной интуицией. Как хакеры применяют свои знания на практике?
• Опыт. Конкретный порядок реализации методологии зависит от предыдущего опыта хакера. Опытные хакеры обычно очень в этом эффективны. Эффективность — это результат накопленного опыта.
#bestpractices #bugbounty
🪲 Анализ малвари StealC
Серия из трёх частей по реверса экземпляра малвари для Windows из семейства StealC, начиная с упакованного образца и заканчивая восстановлением всех этапов C2.
🔸 Часть 1
🔸 Часть 2
🔸 Часть 3
#malware #reverse
Привет, друзья! 👋
Мы готовим статью о распространенных ошибках в карьере программиста и хотели бы услышать ваше мнение! Поделитесь своими мыслями и опытом, и самые полезные советы мы включим в нашу статью.
Вот несколько вопросов для вас:
🤔 С какими ошибками в своей карьере программиста вы сталкивались? Как вы их преодолели?
📚 Какие советы вы бы дали начинающим разработчикам, чтобы избежать распространенных ловушек в программировании?
🖥️ Что, по вашему мнению, важно учитывать при планировании своей карьеры в IT, чтобы минимизировать сожаления в будущем?
Спасибо за ваше участие! 🚀
🥷 Обнаружение и устранение компрометаций Active Directory
Подборка некоторых распространенных векторов эксплуатации AD, кейсов их обнаружения и предотвращения.
Над документом работали специалисты из Australian Signals Directorate (ASD), the Cybersecurity and Infrastructure Security Agency (CISA), the National Security Agency (NSA), the Canadian Centre for Cyber Security (CCCS), the New Zealand National Cyber Security Centre (NCSC-NZ), and the United Kingdom's National Cyber Security Centre (NCSC-UK).
👉 Источник
#redteam #security
👩💻 Подборка шпаргалок по Linux: на заметку этичному хакеру
#cheatsheet #linux by sysxplore
🐞👩💻 Ледибаг в деле. Как найти уязвимости в Android и попасть в топ белых хакеров Google
В 2010 году, когда направление багбаунти еще не получило широкой известности, Google запустила свою Vulnerability Reward Program. С тех пор в ней поучаствовало более 3000 исследователей. Каждый год Google обновляет списки лучших багхантеров, которые нашли наибольшее количество уязвимостей в их продуктах. И команде Positive Technologies удалось пообщаться с одной из них.
Алёна Склярова — исследователь безопасности, занимает 13-е место в топе багхантеров Google за последний год, а также 13-е место в рейтинге исследователей Android за все время. Алёна нашла немало багов в ОС Android, за что неоднократно получала благодарности от Google. Большинство найденных багов — критические и были отмечены в бюллетенях безопасности Android.
Под катом она поделится своим опытом, рассказывает о трудностях в начале пути и успехах, а также дает ценные советы начинающим багхантерам.
👉 Читать
#bugbounty #security #research #mobile
🔥 Есть здесь любители SSRF и багбаунти?
Егор Зонов из Яндекса показал примеры уязвимостей Server-Side Request Forgery, которые были сданы в багбаунти Яндекса, вместе со статистикой выплат за них в 2023 году.
Рассказал про обнаружение SSRF и распространённые способы защиты, а на 21-й минуте заспойлерил сервис SSRF Sheriff во внутрянке Яндекса, который используется для багхантеров на «Охоте».
📺 Смотреть
🗂 Читать презентацию
#pentest #bugbounty
💻 15 лучших ноутбуков для программиста в 2024 году
Хочешь заменить свой рабочий ноут?