tgoop.com »
United States »
Библиотека хакера | Hacking, Infosec, ИБ, информационная безопасность » Telegram Web
🔥 Red, blue и purple AI
Jason Haddix показал сокращенный формат своего ИИ-тренинга на OWASP AppSec San Francisco. Речь пойдет не о будущем ИИ и машинного обучения, а о конкретных стратегиях и методах, которые можно применить для усиления работы вашей команды по безопасности.
👉 Смотреть
#ai #redteam #blueteam
Jason Haddix показал сокращенный формат своего ИИ-тренинга на OWASP AppSec San Francisco. Речь пойдет не о будущем ИИ и машинного обучения, а о конкретных стратегиях и методах, которые можно применить для усиления работы вашей команды по безопасности.
👉 Смотреть
#ai #redteam #blueteam
🌚3👍2
🥷 Ruby-SAML / GitLab Authentication Bypass (CVE-2024-45409)
Зачем изучать различные CVE? Хотя бы за тем, чтобы расширить кругозор в нашем сложном ремесле и понимать предпосылки возникновения багов. Сегодня для вас очередная критическая уязвимость в GitLab, позволяющая обойти механизмы аутентификации SAML и получить несанкционированный доступ, используя недостаток в обработке ответов SAML.
👉 Читать
#CVE #writeup
Зачем изучать различные CVE? Хотя бы за тем, чтобы расширить кругозор в нашем сложном ремесле и понимать предпосылки возникновения багов. Сегодня для вас очередная критическая уязвимость в GitLab, позволяющая обойти механизмы аутентификации SAML и получить несанкционированный доступ, используя недостаток в обработке ответов SAML.
👉 Читать
#CVE #writeup
🔥4👍1
🤔 Загрузить веб-шелл с помощью функционала загрузки картинки? Не бред, а реальность. Не так часто встретишь в реальных веб-приложениях, но технику знать обязательно надо!
#bugbounty #tips
#bugbounty #tips
❤5🤔5
🤯 Ситуация:
Вам поступает задача, вы на глаз оцениваете ее в две недели и получаете одобрение по срокам. Сначала все идет хорошо, пилите проект и ничто не предвещает беды.
Со временем задача усложняется, потому что данные приходят с задержками и вразнобой. Вы не делитесь с руководителем своими трудностями, потому что тогда это можно посчитать за некомпетентность.
А когда приходит время сдачи работы, выясняется, что большинство работы сделано неправильно.
💬 Как думаете, как стоило поступить исполнителю?
Вам поступает задача, вы на глаз оцениваете ее в две недели и получаете одобрение по срокам. Сначала все идет хорошо, пилите проект и ничто не предвещает беды.
Со временем задача усложняется, потому что данные приходят с задержками и вразнобой. Вы не делитесь с руководителем своими трудностями, потому что тогда это можно посчитать за некомпетентность.
А когда приходит время сдачи работы, выясняется, что большинство работы сделано неправильно.
💬 Как думаете, как стоило поступить исполнителю?
👏5👍1
🥷☁️ RCE в Managed ClickHouse глазами специалиста SOC в Yandex Cloud
Вадим Осипов (security‑инженер в команде Yandex Cloud) и Дмитрий Руссак (тимлид команды SOC‑инжиниринга) рассказывают про безопасность managed-сервисов и RCE в Managed ClickHouse в Yandex Cloud.
Здесь интересны не только поиск и эксплуатация уязвимости, но и принцип построения облаков👇
🔗 Читать
#cloud #pentest
Вадим Осипов (security‑инженер в команде Yandex Cloud) и Дмитрий Руссак (тимлид команды SOC‑инжиниринга) рассказывают про безопасность managed-сервисов и RCE в Managed ClickHouse в Yandex Cloud.
Здесь интересны не только поиск и эксплуатация уязвимости, но и принцип построения облаков👇
🔗 Читать
#cloud #pentest
👍2
Forwarded from Библиотека программиста | программирование, кодинг, разработка
📨 Как работают очереди и брокеры сообщений
Очередь сообщений — структура данных, которая хранит сообщения в порядке FIFO. Представьте, что вашему приложению нужно обрабатывать файлы, которые загружают пользователи. Очередь сообщений в этом случае может выступать как очередь задач, обрабатывающая задания асинхронно:
1️⃣ Пользователь загружает большой файл для обработки.
2️⃣ Веб-сервер принимает файл и создает задание.
3️⃣ Задание добавляется в очередь задач, а файл загружается в объектное хранилище.
4️⃣ Позже рабочий процесс забирает задания из очереди одно за другим и обрабатывает их, получая файл из хранилища.
Это самый простой пример. Очереди сообщений можно использовать для:
✔️ Планирования и управления фоновыми задачами.
✔️ Распределения задач между несколькими рабочими процессами.
✔️ Управления сервисами подписки и уведомлений.
✔️ Буферизации данных.
✔️ Повторных попыток обработки платежей и многого другого.
Подробнее читайте в нашем гайде 👇
🔗 Читать статью
🔗 Зеркало
Очередь сообщений — структура данных, которая хранит сообщения в порядке FIFO. Представьте, что вашему приложению нужно обрабатывать файлы, которые загружают пользователи. Очередь сообщений в этом случае может выступать как очередь задач, обрабатывающая задания асинхронно:
1️⃣ Пользователь загружает большой файл для обработки.
2️⃣ Веб-сервер принимает файл и создает задание.
3️⃣ Задание добавляется в очередь задач, а файл загружается в объектное хранилище.
4️⃣ Позже рабочий процесс забирает задания из очереди одно за другим и обрабатывает их, получая файл из хранилища.
Это самый простой пример. Очереди сообщений можно использовать для:
✔️ Планирования и управления фоновыми задачами.
✔️ Распределения задач между несколькими рабочими процессами.
✔️ Управления сервисами подписки и уведомлений.
✔️ Буферизации данных.
✔️ Повторных попыток обработки платежей и многого другого.
Подробнее читайте в нашем гайде 👇
🔗 Читать статью
🔗 Зеркало
👍3
❗Вакансии «Библиотеки программиста» — ждем вас в команде!
Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉контент-менеджеров для ведения телеграм-каналов
👉Переводчик и автор оригинальных статей
Подробности тут
Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴
Ждем ваших откликов 👾
Мы постоянно растем и развиваемся, поэтому создали отдельную страницу, на которой будут размещены наши актуальные вакансии. Сейчас мы ищем:
👉контент-менеджеров для ведения телеграм-каналов
👉Переводчик и автор оригинальных статей
Подробности тут
Мы предлагаем частичную занятость и полностью удаленный формат работы — можно совмещать с основной и находиться в любом месте🌴
Ждем ваших откликов 👾
job.proglib.io
Вакансии в медиа «Библиотека программиста»
Количество проектов в редакции постоянно растет, так что нам всегда нужны специалисты
🔥 Fortinet FortiGate CVE-2024-23113: суперсложная уязвимость в суперзащищенном устройстве в 2024 году
Исследователи из лаборатории Watchtowr обнаружили очередную уязвимость в SSL VPN.
👉 Читать райтап
#writeup #CVE
Исследователи из лаборатории Watchtowr обнаружили очередную уязвимость в SSL VPN.
👉 Читать райтап
#writeup #CVE
🥷 DLL Sideloading — метод, позволяющий выполнять кастомный вредоносный код из легитимных (возможно, даже подписанных) бинарных файлов/процессов Windows.
Под катом вас ждет отличное введение в данную тему. Оно обобщает различия между такими понятиями, как hijacking, sideloading, proxying и т. д.
👉 Читать
#redteam #tools #security
Под катом вас ждет отличное введение в данную тему. Оно обобщает различия между такими понятиями, как hijacking, sideloading, proxying и т. д.
👉 Читать
#redteam #tools #security
👍2
🤔 Почему в багбаунти важно быть настойчивым и «вгрызаться» за каждый эндпоинт? Потому что многие используют инструменты автоматизации и не переходят к ручному тестированию, который как раз может привести к цели.
☝️ Багхантер показал пример успешной RCE-уязвимости, выявленной с помощью инструмента и BurpSuite-расширения Param Miner.
👉 Источник
#bugbounty #tips
☝️ Багхантер показал пример успешной RCE-уязвимости, выявленной с помощью инструмента и BurpSuite-расширения Param Miner.
👉 Источник
#bugbounty #tips
👍4
🤠 Просто напоминаем, что у Intigriti есть собственная Hackademy!
Место, где вы на практике можете узнать про XSS, IDOR, SQLi и многом другом! В общем, идеальное руководство для начинающих багхантеров 🤑
👉 Intigriti Hackademy
#bugbounty #learning
Место, где вы на практике можете узнать про XSS, IDOR, SQLi и многом другом! В общем, идеальное руководство для начинающих багхантеров 🤑
👉 Intigriti Hackademy
#bugbounty #learning
👍4
💬 А вы отдыхаете на выходных?
Ну это такие дни в течение недели, когда другие люди не работают, а отдыхают, то есть дают возможность организму/психике самовосстановиться.
👍 — да, только этим и занимаюсь
🤔 — нет, доделываю «хвосты» по работе
💯 — не работаю, но занимаюсь пет-проектами
🤩 — свой вариант (напишу в комментариях)
#интерактив
Ну это такие дни в течение недели, когда другие люди не работают, а отдыхают, то есть дают возможность организму/психике самовосстановиться.
👍 — да, только этим и занимаюсь
🤔 — нет, доделываю «хвосты» по работе
💯 — не работаю, но занимаюсь пет-проектами
🤩 — свой вариант (напишу в комментариях)
#интерактив
🤔13💯9👍5
🧑💻 Статьи для IT: как объяснять и распространять значимые идеи
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Напоминаем, что у нас есть бесплатный курс для всех, кто хочет научиться интересно писать — о программировании и в целом.
Что: семь модулей, посвященных написанию, редактированию, иллюстрированию и распространению публикаций.
Для кого: для авторов, копирайтеров и просто программистов, которые хотят научиться интересно рассказывать о своих проектах.
👉Материалы регулярно дополняются, обновляются и корректируются. А еще мы отвечаем на все учебные вопросы в комментариях курса.
Forwarded from Библиотека нейросетей | ChatGPT, Midjourney, DeepSeek, Sora
⚡️Разыгрываем флагманский смартфон
«Библиотека программиста» разыгрывает один из трех смартфонов на выбор:
🔹Samsung Galaxy S24 Ultra на 1 ТБ
🔹Xiaomi 14 Ultra на 512 ГБ
🔹iPhone 16 Pro Max на 512 ГБ
🔥 А еще 99 участников розыгрыша получат скидку 50% на наш курс Базовые модели ML и приложения!
Промокод будет действителен до 20 ноября.
Условия просты:
→ подписаться на Библиотека нейротекста
→ подписаться на Библиотека нейрозвука
→ подписаться на Библиотека нейрокартинок
→ нажать на кнопку «Участвовать» под этим постом
Итоги появятся 30 октября в 20:00 по московскому времени в нашем канале Библиотека программиста. Затем мы свяжемся с победителем, который сам выберет смартфон. Тем, кто получит промокод, мы вышлем его в течение недели после окончания розыгрыша.
⚠️ Убедитесь, что вам можно написать в личные сообщения или следите за результатами — если мы не сможем с вами связаться, то не сможем и отправить приз. Доставить мы можем только в города России и Беларуси.
«Библиотека программиста» разыгрывает один из трех смартфонов на выбор:
🔹Samsung Galaxy S24 Ultra на 1 ТБ
🔹Xiaomi 14 Ultra на 512 ГБ
🔹iPhone 16 Pro Max на 512 ГБ
🔥 А еще 99 участников розыгрыша получат скидку 50% на наш курс Базовые модели ML и приложения!
Промокод будет действителен до 20 ноября.
Условия просты:
→ подписаться на Библиотека нейротекста
→ подписаться на Библиотека нейрозвука
→ подписаться на Библиотека нейрокартинок
→ нажать на кнопку «Участвовать» под этим постом
Итоги появятся 30 октября в 20:00 по московскому времени в нашем канале Библиотека программиста. Затем мы свяжемся с победителем, который сам выберет смартфон. Тем, кто получит промокод, мы вышлем его в течение недели после окончания розыгрыша.
⚠️ Убедитесь, что вам можно написать в личные сообщения или следите за результатами — если мы не сможем с вами связаться, то не сможем и отправить приз. Доставить мы можем только в города России и Беларуси.
👍1
😵 0-day уязвимости в реальных атаках
На прошлой неделе подразделение Mandiant из Google выпустило отчет, в котором сделана попытка проанализировать реальную эксплуатацию уязвимостей в атаках. Это достаточно важная метрика: далеко не все уязвимости, информация о которых так или иначе становится доступной, могут быть эксплуатированы для нанесения реального ущерба. Исследователи ограничили анализ уязвимостями, обнародованными в 2023 году. Из них был выделен набор из 138 багов, которые использовались в реальных атаках.
Главный вывод: организаторы атак стали гораздо активнее использовать недавно обнаруженные уязвимости. Средний срок между появлением информации об уязвимости до начала ее эксплуатации для данного набора багов составил всего 5 дней. В предыдущем отчете за 2021 и 2022 годы этот показатель составлял 32 дня, а в начале 2021 года — и вовсе 44 дня. Более того, из 138 реально эксплуатируемых проблем в ПО 70% были впервые эксплуатированы до выпуска патчей.
👉 Подробнее
#hacking
На прошлой неделе подразделение Mandiant из Google выпустило отчет, в котором сделана попытка проанализировать реальную эксплуатацию уязвимостей в атаках. Это достаточно важная метрика: далеко не все уязвимости, информация о которых так или иначе становится доступной, могут быть эксплуатированы для нанесения реального ущерба. Исследователи ограничили анализ уязвимостями, обнародованными в 2023 году. Из них был выделен набор из 138 багов, которые использовались в реальных атаках.
Главный вывод: организаторы атак стали гораздо активнее использовать недавно обнаруженные уязвимости. Средний срок между появлением информации об уязвимости до начала ее эксплуатации для данного набора багов составил всего 5 дней. В предыдущем отчете за 2021 и 2022 годы этот показатель составлял 32 дня, а в начале 2021 года — и вовсе 44 дня. Более того, из 138 реально эксплуатируемых проблем в ПО 70% были впервые эксплуатированы до выпуска патчей.
👉 Подробнее
#hacking
❤5👍1
Forwarded from Библиотека нейросетей | ChatGPT, Midjourney, DeepSeek, Sora
⚡️Разыгрываем флагманский смартфон
«Библиотека программиста» разыгрывает один из трех смартфонов на выбор:
🔹Samsung Galaxy S24 Ultra на 1 ТБ
🔹Xiaomi 14 Ultra на 512 ГБ
🔹iPhone 16 Pro Max на 512 ГБ
🔥 А еще 99 участников розыгрыша получат скидку 50% на наш курс Базовые модели ML и приложения!
Промокод будет действителен до 20 ноября.
Условия просты:
→ подписаться на Библиотека нейротекста
→ подписаться на Библиотека нейрозвука
→ подписаться на Библиотека нейрокартинок
→ нажать на кнопку «Участвовать» под этим постом
Итоги появятся 30 октября в 20:00 по московскому времени в нашем канале Библиотека программиста. Затем мы свяжемся с победителем, который сам выберет смартфон. Тем, кто получит промокод, мы вышлем его в течение недели после окончания розыгрыша.
⚠️ Убедитесь, что вам можно написать в личные сообщения или следите за результатами — если мы не сможем с вами связаться, то не сможем и отправить приз. Доставить мы можем только в города России и Беларуси.
«Библиотека программиста» разыгрывает один из трех смартфонов на выбор:
🔹Samsung Galaxy S24 Ultra на 1 ТБ
🔹Xiaomi 14 Ultra на 512 ГБ
🔹iPhone 16 Pro Max на 512 ГБ
🔥 А еще 99 участников розыгрыша получат скидку 50% на наш курс Базовые модели ML и приложения!
Промокод будет действителен до 20 ноября.
Условия просты:
→ подписаться на Библиотека нейротекста
→ подписаться на Библиотека нейрозвука
→ подписаться на Библиотека нейрокартинок
→ нажать на кнопку «Участвовать» под этим постом
Итоги появятся 30 октября в 20:00 по московскому времени в нашем канале Библиотека программиста. Затем мы свяжемся с победителем, который сам выберет смартфон. Тем, кто получит промокод, мы вышлем его в течение недели после окончания розыгрыша.
⚠️ Убедитесь, что вам можно написать в личные сообщения или следите за результатами — если мы не сможем с вами связаться, то не сможем и отправить приз. Доставить мы можем только в города России и Беларуси.
👍2
🔥 100 редтим-проектов: на заметку пентестеру и этичному хакеру
Коллекция из 100 проектов, которые стоит внимательно изучить, чтобы стать настоящим профи.
Выполните их на том языке программирования, который вам наиболее удобен. Проекты разделены на категории, от самых простых до продвинутых.
👉 GitHub
#redteam #practice
Коллекция из 100 проектов, которые стоит внимательно изучить, чтобы стать настоящим профи.
Выполните их на том языке программирования, который вам наиболее удобен. Проекты разделены на категории, от самых простых до продвинутых.
👉 GitHub
#redteam #practice
🔥8