• 15 апреля стартует «Курс «SQL-injection Master» ©» от команды The Codeby

    За 3 месяца вы пройдете путь от начальных навыков работы с SQL-запросами к базам данных до продвинутых техник. Научитесь находить уязвимости связанные с базами данных, и внедрять произвольный SQL-код в уязвимые приложения.

    На последнюю неделю приходится экзамен, где нужно будет показать свои навыки, взломав ряд уязвимых учебных сайтов, и добыть флаги. Успешно сдавшие экзамен получат сертификат.

    Запись на курс до 25 апреля. Получить промодоступ ...

pentest

  1. Hiro Hamada

    Сетевое обнаружение

    Ку ребята. Вопрос есть. В windows есть функция вкл или откл сетевого обнаружения. Если в сети есть комп с отключ обнаружением, то как можно его найти или увидеть итд. Программы спец итд
  2. ilyh

    Загрузка файлов без проверки расширения. Эксплуатация

    Привет Есть веб приложение с функцией загрузки изображений. Проверки никакой нет, так что можно грузить файлы с любым типом и содержанием. Приложение на Node.js. Как можно это использовать?
  3. g00db0y

    Статья Начало работы в Android приложениях по пентестингу (Часть 1)

    Стремительное развитие и рост мобильных приложений несут в себе кучу уязвимостей, которые злоумышленники готовы эксплуатировать. Если вы разрабатываете приложения для Android и iOS-устройств и не успеваете за стратегиями пентеста, тогда вы должны быстро в них разобраться. В этой статье я...
  4. R

    Вакансия Pentester / Red Teamer на удаленную работу

    Ищу работу по проведению тестов на проникновение (pentest). Имею большой опыт работы в данной сфере. Мои возможности: - самостоятельно выявляю промежуточные цели, которые можно использовать для проникновения в конечную цель - проверяю серверы и сайты на наличие известных уязвимых компонентов...
  5. qwertyytrewq1

    Как получать соединения вне локальной сети «Fat Rat» (Kali Linux) ?

    Собственно, суть вопроса в заголовке: Как получать соединения от юзера, который находится вне локальной сети?
  6. Vertigo

    Soft Evildll и атака dll hijacking

    Добрый день, Уважаемые Форумчане и Друзья. Сегодня рассмотрим с вами интересный инструмент, автором которого является Thelinuxchoice. Не менее интересен и способ атаки, для реализации которой и появился Evildll. Компания Microsoft регулярно пытается бороться с атаками Dll Hijacking. Здесь...
  7. g00db0y

    Статья Мыслите вне рамок OWASP TOP-10/SANS TOP-25/Bug Bounty

    Статья является переводом. Оригинал вот тут TL;DR: "Мыслите вне рамок OWASP TOP-10/SANS TOP-25/Bug Bounty ". В этой статье мы обсудим несколько примеров, чтобы донести главную идею о том, что если вы думаете ограниченно, то вы и будете ограниченными. Использование Bug bounty ухудшило...
  8. Vertigo

    Soft Инструментарий AngelSecurityTeam

    Приветствую Уважаемых Форумчан и Друзей. Сегодня буду знакомить вас с целой группой инструментов. Разработчиком которых является AngelSecurityTeam. В обзоре будет не полный перечень новинок. В арсенале имеются и утилиты по перечислению субдоменов и поиска админок. Но выбрал те,с которыми было...
  9. Vertigo

    Soft Sourceleakhacker

    Приветствую всех Друзей и Форумчан. Сегодня рассмотрим очередной инструмент для тестирования. Создал его WangYihang из Китая. Представляет собой SourceLeakHacker многопоточный сканер утечек информации от web-ресурса. Установка: # git clone https://github.com/WangYihang/SourceLeakHacker.git # cd...
  10. А

    Пентестер

    #москва #вакансия #пентест Добрый день! ❗ Ищу пентестера/эксперта по ИБ в системный интегратор, более 300 реализованных проектов по разработке и внедрению систем автоматизации и обеспечению ИБ корпоративных систем. ✔Мы ожидаем, что у Вас высшее техническое образование, опыт проведения анализа...
  11. I

    Конкурс Pentest сайта на WP

    Доброго времени суток, Всем! На общий конкурс по Pentest'у предлагаю сайт tusila.ru Это детский завлекательно-познавательный сайт который к сожалению имеет ряд уязвимостей, которые не позволяют развивать сайт, так как его постоянно взламывают. Чтобы кроме соревновательной части была и...
  12. Vertigo

    Soft Тест Cms с Medusa и разведка с Magnifier

    Приветствую Друзей и Уважаемых Форумчан. Сегодня рассмотрим пару инструментов,заслуживающих внимания. Поработают они последовательно в связке. Тестировать и атаковать будем один из недобросовестных ресурсов с помощью BlackArch. Будет также немного трэша,но главной задачей останется демонстрация...
  13. Zer0must2b

    Гостевая статья Как расшифровать end-to-end медийные файлы WhatsApp

    В центре истории "Саудовского взлома" находится таинственное видеофайл, который следователи не смогли расшифровать, отправленный наследным принцем Саудовской Аравии MBS в Безос через WhatsApp. В этом посте я покажу, как его расшифровать. После расшифровки у нас будет либо дымящийся пистолет...
  14. J

    Тест на проникновение

    Вечер добрый, форумчани. Пытаюсь пробиться в сетку, но пока еще не так много опыта в этой сфере. Проверил ее(сетку) на различные уязвимости посредством Armitage, но ничего такого не подобрал. Из сервисов доступно только: domain (53), kerberos-sec (88), msrpc (135) Windows RPC, netbios-ssn...
  15. g00db0y

    Статья Полное погружение в контроль доступа к AWS S3 - получение контроля над вашими ресурсами

    Статья является переводом. Оригинал находится здесь TL;DR: Настройка контроля доступа AWS S3 состоит из нескольких уровней, каждый из которых имеет свой собственный уникальный риск неправильной настройки. Мы рассмотрим специфику каждого уровня и определим опасные случаи и моменты, когда слабые...
  16. J

    vps(kvm)

    Привет форумчанам. Кто не сильно занят своими делами, не мог бы покидать годных статей на тему vps. Как лучше настроить, что лучше отрубить, что установить(в плане пентеста) и т.д. Заранее спасибо!)
  17. Z

    Bug Bounty | статья > err

    Хотел написать краткую статью и только по делу о площадках со списком программ <Bug Bounty> для Пентестеров. Однако требование для публикации не менее 3к знаков для публичной статьи. Водой, копи-пастой не пользуюсь и это (ИХМО) только подпортит статью. Вопрос, как лучше поделиться знаниями...
  18. crew

    Hydra больше не брутит email ?

    Всем привет ! В рамках тестирования ПО Hydra v9.0 был создан тестовый почтовый ящик на gmail, в словарь заведомо был добавлен пароль. Использовалась следующая конструкция команды: hydra smtp.gmail.com smtp -l email@gmail.com -P /usr/share/wordlists/password.txt -s 465 -S -v -V Hydra выдает...
  19. A

    Общая методология проведения внутреннего теста на проникновение

    Что представляет из себя внутренний пентест? Внутренний тест на проникновение - комплекс мероприятий, имитирующих действия злоумышленника, направленных на получение доступа к конфиденциальной информации, ее неправомерного использования, изменения или уничтожения, при наличии доступа во...
  20. lomini

    Ищу специалистов в Пентестинге.

    Ищу людей профи своего дела , кто хорошо разбирается в Веб Пентестинге , но кто не знает как монетизировать свои навыки. Есть несколько интересных предложений , для тех кому нужна работа. ( Серые Шапки ). От вас: Web Pentest Знание популярных CMS. От нас: Постоянная работа. Достойные...
Верх Низ