• 🚨 29 мая стартует курс «Пентест Active Directory: от теории к практике» от Академии Кодебай

    🔍 Изучите реальные техники атак на инфраструктуру Active Directory: от первоначального доступа до полной компрометации.
    🛠️ Освойте инструменты, такие как BloodHound, Mimikatz, CrackMapExec и другие.
    🧪 Пройдите практические лабораторные работы, имитирующие реальные сценарии атак.
    🧠 Получите знания, которые помогут вам стать востребованным специалистом в области информационной безопасности.

    После старта курса запись открыта еще 10 дней Подробнее о курсе ...

  • Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

Конкурс Выбираем лучшую статью финального конкурса 2019 года

Позволю себе дать развернутый комментарий по каждой статье и обосновать свой выбор:
1) Тысяча и одна уязвимость. Проводим аудит безопасности GNU/Linux «на лету»
Очень хороший разбор возможностей работы с API Vulners разными способами. Приведены тулзы и режимы, но для первого места не хватает собственного ресерча. Например, мы в компании используем вулнерс для постоянной проверки наших компонент на уязвимости, но беда в том, что вулнерс сильно ограничен по API. Мы придумали способ как использовать вулнерс не сильно его нагружая, но при этом полуать максимально полную картину.

2) Как я нашёл уязвимость в хорошо защищённом web приложении
Сначала статья вызвала сомнения, но подтверждение баги на h1 мои сомнения развеяли. Очень прикольная бага. Я бы рекомендовал чуть углубиться в неё и написать какой то фаззер/сканер. И посмотреть варианты, как советовали в темы, на генерацию картинок, ресурсов и других артефактов. Однозначно хорошо.

3) Получаем доступ к аккаунтам Meest Express (моя первая найденная уязвимость)
Эту статью я могу выделить в рамочку и повесить на стену. Здесь все хорошо. И оформление. И сама бага достаточно непростая. Видно, что автор проявил настойчивость и упорство при её поиске. Довел дело до конца. Плюс в карму так же за то, что удалось найти достаточно нестандартную багу. Яркий пример того, какие статьи хотелось бы видеть в рамках этого конкурса.

4) Создаём беспалевный web-shell и испытываем в боевых условиях
Прекрасная работа. Автор и свой веб шелл написал (что не просто, жаль только что он гуишный) и продемонстрировал её на реальном примере уязвимости. Никаких косяков нет. Единственное, что пожалуй, сама уязвимость достаточно простая и лежит на поверхности, так же нет никаких трудностей с постэксплуатацией, все достаточно тривиально все сервисы от рута.

5) План вкатывания в ИБ или как начать заниматься пентестингом и Bug Hunting на личном примере
По поводу этой статьи я уже отписался в теме. Автор заявляет как CheatSheet, но сильно не дотягивает. Много очень навязчивой рекламы как активов самого форума, так и собственного имени.

Жаль я имею право только одного голоса. И долго думал думал между 3 и 4. Но решил отдать свой голос именно 3 статье. За оригинальность и упорство. Молодцы все. Особенно @explorer - ты супер.
 
Да, конечно читали) Я новичок и многое не понимаю, не участвую в общение в комментариях. А тут ещё ограничения на просмотр появились((( как можно права повысить, чтоб можно было полноценно ознакамливаться с материалом на данной площадке?
 
А тут ещё ограничения на просмотр появились(((
Что за ограничения? Мы ничего не меняли с лета

ак можно права повысить, чтоб можно было полноценно ознакамливаться с материалом на данной площадке?
 
Проголосовал,спасибо. А какие возможности дает 3 дня премиум-подписки?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!

Курс AD