Найти в Дзене
1 день назад

Как одна строка Python ломает сервер: гайд по Pickle-десериализации

Многие начинают изучать Pickle только тогда, когда впервые сталкиваются с задачей на небезопасную десериализацию. Но для пентестера или AppSec-инженера это уже поздно. Такие уязвимости регулярно встречаются не только в CTF, но и на собеседованиях, и во время реальных аудитов. Если не понимать, как работает Pickle, можно не заметить критическую RCE, пропустить её в отчёте или не суметь подтвердить эксплуатацию. А подобные ошибки уже могут стоить не только репутации специалиста, но и работы. В статье разберём: После прочтения у тебя будет всё необходимое, чтобы решить типовую CTF-задачу на десериализацию Pickle...

2 месяца назад

[Открытый практикум] Мышление пентестера: почему теории много, а толку мало Как перейти от изучения техник к реальным проектам — и чем в этом поможет полигон Standoff Hackbase? Разберёмся сегодня, 29 апреля, в 20:00 мск Бесплатно. Онлайн. Что обсудим - Ловушку «потребления контента»: почему папка «Избранное» не помогает найти работу. - Мышление практика: за что на самом деле платят в ИБ и почему «нашел и доказал» важнее, чем «прочитал и запомнил». - Первые шаги в проектах: как не провалить первый аудит из-за неаккуратности и почему системность важнее хакерского драйва. - Где набивать руку: разберем, как эффективно выстраивать цепочки атак на платформах CyberED и Standoff 365. Наши ведущие: Евгений Строев — Team Lead Information Security @ Exness. Ex-Positive Technologies, ex-Альфа-Банке, ex-Тинькофф. Владислав Стаценко — консультант по информационной безопасности. Работал в компаниях Ростелеком и Х5, участник и призер соревнований. Тембулат Битоков — эксперт по информационной безопасности платформы Standoff 365. Автор канала s3c4rch и активный участник Bug Bounty. Ссылка на регистрацию До встречи!

2 месяца назад

⚠️ [Сегодня] Главный онлайн-эфир весны в CyberED Новостей слишком много. Ты читаешь громкий анонс, видишь новые тулы, слышишь про очередной тренд — и идёшь дальше, не забирая в работу. На ИнфоБесах мы хотим это изменить. По сути, наблюдая этот эфир, ты получаешь инструмент: как грамотно осмыслять новые тренды, примерять их на свою ситуацию и превращать в действия. 🔥Что будет: - спор сильных экспертов с разными взглядами - разбор инструментов и тем, которые реально меняют рынок - разгон идей: как применять новое в работе и бизнесе - прогноз, куда всё движется в ближайшее время Но главная ценность — не список новостей, а модель мышления, которую ты заберёшь с собой. 👉 Записывайся здесь. 👈 Оставляй комментарий при регистрации — самые крутые вопросы и темы разберём в прямом эфире. 🎁 Авторы лучших комментов получат подарки. Победителей объявим в эфире. До встречи!

2 месяца назад

Кого ты позвал на ИнфоБесов, Егор❓ Всем привет! С вами Егор Богомолов, основатель CyberED и Singleton Security, организатор ИнфоБесов. На нашем эфире будут трендовые темы. Иногда технические, иногда философские, иногда визионерские. Получится прикладная смесь — всё о том, что происходит и будет происходить в кибербезе. 🔻Почему я пригласил на эфир именно этих ребят?🔻 ➖Азиз Алимов — чувак с богатейшим пентестерским опытом. Особенный, очень творческий, умеет увидеть неочевидные вещи. А теперь он ещё и погрузился в бизнесовый мир и в рамках своей платформы Bug Bounty познал всех крупных клиентов российского рынка. ➖Анатолий Иванов — легендарный хакер, который применяет необычную логику мысли. Он задействует все самые эффективные способы хака, в том числе AI. И тоже нырнул в один момент в бизнес: запустил стартап без внешних инвестиций. Потом вынырнул, вернулся в хакинг и погрузился супер-глубоко — глубже нас всех. Сейчас занят хардкорной инженерией в Positive Technologies. ➖Ваня Булавин — у него за плечами опыт управления компаниями и командами, выстраивания безопасности и создания сервисов для её обеспечения. Сейчас он занимается полигоном стендов Standoff 365 и развивает комьюнити. Ваня думает широко — о космосе, о ракетах, обо всем будущем. Но при этом очень скептически относится к части передовых концепций безопасности. Именно с этими ребятами мне бы хотелось обсудить последние новости и отсеять тонны буллшита, которые льются нам в уши. Именно эти чуваки смогут и подразогнать идею, и гасануть, если идея какая-то хрень. Вот почему Азиз, Толян и Ваня на нашем эфире must-have 🔥 ________________ Бесплатный эфир ИнфоБесы пройдёт уже совсем скоро: 📅 В четверг 23 апреля, в 19:00 мск. 👉 Заходи на огонёк 👉 Регистрация

2 месяца назад

Гайд по фаззингу: как исследовать директории, файлы и API

ВСЕМ ПРИВЕТ! Меня зовут Роман Насибуллин. Я пентестер в Singleton Security, специализируюсь на внешнем пентесте и анализе веб-приложений. В этой статье расскажу про веб-фаззинг, а именно, про перебор директорий и файлов. Хочу поделиться знаниями, которые помогут сделать фаззинг более полезным и эффективным. Фаззинг – один из ключевых методов поиска уязвимостей и скрытых ресурсов на веб-серверах. Метод заключается в том, что в приложение или сервис автоматически отправляется большое количество различных...

Если нравится — подпишитесь
Так вы не пропустите новые публикации этого канала
Покупайте СтеллыИ дарите их за контент