Статьи, гайды, обучения, рекомендации, обзоры, новости, подборки полезного софта!
Лучшие OSINT боты в Telegram 2025
OSINT - это не просто модное словечко из мира спецслужб. Это целая философия сбора и анализа информации, которая может превратить обычного аналитика в настоящего цифрового детектива. Но давайте по порядку.
THREAT ZONE: Исследование российского ландшафта киберугроз
Всем, кто хочет грамотно выстроить защиту, важно знать своего врага. Часто угрозы остаются скрытыми для компаний, а обнаружить их удается слишком поздно: уже после того, как инцидент произошел и бизнес столкнулся с его последствиями. Организации стремятся решить эту проблему: одни обеспечивают соответствие нормативным стандартам, другие строят модель угроз, а третьи берут за основу рискориентированный подход. Однако, когда приходится столкнуться с реальными злоумышленниками, даже самая хорошая методология защиты, основанная на теоретических взглядах, на деле оказывается неэффективна. Чтобы обеспечить безопасность компании на практике, нужно знать противника в лицо и уметь ему противостоять. Для этого важно понимать, какие...
Как я заработал $15k из-за утечки секретов GitHub
API-ключи, пароли и данные клиентов ежедневно случайно публикуются на GitHub.
Как я обнаружил критическую уязвимость и заработал 4 000 долларов на Bug Bounty
Привет, хакеры! Это Zack0x01, и я снова здесь, чтобы поделиться одним из самых интересных случаев в моем пути Bug Bounty. После перерыва по личным причинам, с сентября я возобновил охоту в рамках публичной программы Bug Bounty (BBP) на платформе HackerOne. В этом блоге я расскажу о своем пути, инструментах, которые я использовал, и о том, как заработал 4 000 долларов, обнаружив критические уязвимости. Давайте начнем!
Эскалация привилегий через функционал имперсонации
Я хочу поделиться с вами интересной уязвимостью, которую я обнаружил в одной из программ Bugcrowd. Она была связана с функцией «имперсонации пользователя».
От XSS уязвимости до полного административного доступа
В этом посте я расскажу вам о недавнем реальном тестировании, где я использовал stored XSS для получения административного доступа, даже несмотря на защиту с использованием HTTPOnly флага в cookies. Также я продемонстрирую, как мне удалось обойти эту меру безопасности и захватить учетную запись администратора.
Геолокация места, где был убит лидер ХАМАС Яхья Синвар
17 октября 2024 года вооружённые силы Израиля (ЦАХАЛ) объявили о смерти лидера ХАМАС Яхьи Синвара в ходе операции на юге Газы.
5 способов получить RCE на практике
Для специалистов в области offensive security обнаружение уязвимостей удалённого выполнения кода (RCE) является настоящей жемчужиной как для black-box проектов, так и для white-box. Такие уязвимости могут проявляться по-разному, но также существуют общие подходы для их обнаружения.
