Телеграмм чат группы antichat страница 477

https://www.udemy.com/course/python-3-gui-pyqt5/

https://cloud.mail.ru/public/sF12/LHddJV7eF/

349000:41пожаловаться #1

https://telegra.ph/Desyataya-konferenciya-ZeroNights-projdet-v-Sankt-Peterburge-06-26

Telegraph

Десятая конференция ZeroNights пройдет в Санкт-Петербурге

Десятая конференция ZeroNights пройдет в Санкт-Петербурге В 2021 году в десятый раз пройдет ZeroNights – ежегодная международная конференция, посвященная практическим аспектам информационной безопасности. Дата и место Россия, Санкт-Петербург, Кожевенная линия, 40, “Севкабель Порт” 25 августа 2021 Аудитория Среди участников конференции – технические специалисты, администраторы, руководители и сотрудники служб ИБ, пентестеры, программисты и все, кто интересуется прикладными аспектами отрасли «Информационная…

336108:52пожаловаться #2

2021 June 27

Смотрите "HackTheBox - Spectra" на YouTube
https://youtu.be/mC7G3i2gV54

00:00 - Start
01:00 - Nmaping the box
03:00 - Checking out the web pages, discovering Wordpress
04:00 - Getting the username of wordpress by looking at the blog post author
06:30 - Running WpScan with Plugins-detection
08:25 - Finding an open directory on the testing site, accessing a backup
09:15 - Attempting to login with MySQL but cannot due to the account only being allowed on localhost
12:30 - Logging into wordpress with administrator and the devteam01 password
13:25 - Getting a shell through WordPress by editing an unused theme
15:50 - Failing to get a reverse shell...
19:30 - Using a common PHP Reverse Shell
20:45 - Discovering we are on a ChromeBook
24:50 - Discovering a password in autologin
26:30 - Using the password with local users on the box
27:10 - Logging in with Katie then seeing she can run sudo initctl
31:20 - Failing to play with init files, switching to a simpler method of testing code exec
32:15 - Putting a python reverse shell inside of init and getting root

HackTheBox - Spectra

328203:35пожаловаться #3

Смотрите "Found a Crash Through Fuzzing? Minimize AFL Testcases!" на YouTube
https://youtu.be/YeEGDfPqR0E

Found a Crash Through Fuzzing? Minimize AFL Testcases!

One fuzzer found a crash. Now we need to investigate if it's a 0day or if we found the known bug. To do that we first minimize the testcase, and then perform various tests and sanity checks.

Long version with Q&A: https://www.youtube.com/watch?v=uDSbYM5g-1M

Grab the files: https://github.com/LiveOverflow/pwnedit/tree/main/episode05
The whole playlist: https://www.youtube.com/playlist?list=PLhixgUqwRTjy0gMuT4C3bmjeZjuNQyqdx
Article version: https://liveoverflow.com/minimizing-afl-testcases-sudo5/
gef for gdb: https://github.com/hugsy/gef

00:00 - Recap of Fuzzing Experiment: afl vs afl++
00:44 - We found a crash!
01:45 - First Look at the Crash Testcase
02:57 - Looking at Crash in GDB
04:06 - Is it a 0day or the Known Bug?
05:28 - Minimizing AFL Testcase
07:16 - Looking at Minimized Testcase
08:23 - Next Steps

-=[ ❤️ Support ]=-

→ per Video: https://www.patreon.com/join/liveoverflow
→ per Month: https://www.youtube.com/channel/UClcE-kVhqyiHCcjYwcpfj9w/join

-=[ 🐕 Social ]=-

→ Twitter: https://twitter.com/LiveOverflow/…

330604:24пожаловаться #4

2021 June 28

Application Threat Modeling или чего не хватает вашим приложениям

На подкасте упоминал про процесс моделирования угроз, который по-хорошему должен стоять в начале формирования требований безопасности к любой системе и приложению, в том числе Kubernetes. Тем не менее только сейчас нашел статью, которую хотел зашарить еще в пятницу в чат (в дополнение к тем, которыми уже поделился) - "Application Threat Modeling или чего не хватает вашим приложениям". Это небольшая статья от @icyberdeveloper о процессе моделирования угроз с применением методик STRIDE/DRIDE на примере простого приложения.

Основные шаги при моделировании угроз:
1. Декомпозиция приложения на объекты под угрозой.
2. Определение опасностей, грозящих системе.
3. Построение деревьев угроз.
4. Оценка риска безопасности для каждого дерева.
5. Сортировка опасностей в порядке убывания степени их серьезности.
6. Выбор методов борьбы с опасностями.
7. Отбор технологий для выбранных методов борьбы с опасностями.

Кстати, про все это вас будут спрашивать, если вы захотите пройти собеседование в иностранные компании на позицию AppSec или DevSecOps, поэтому однозначно стоит добавить в свой roadmap.

#dev #ops #threatmodeling

293910:17пожаловаться #5

Бывает смотришь на девушку и думаешь — DAST или не DAST... Впрочем о чем это я... А, подкаст новый записали. На этот раз обсуждаем все прелести DAST анализа с ребятами, которые неплохо в этом разбираются. В выпуске присутствует жесткая критика MobSF, поэтому слабонервных прошу поаккуратнее с прослушиванием 😉

Послушать выпуск можно в Google/Apple подкастах и на Youtube:

🎥 YouTube: https://youtu.be/imrlMLVOTRY
🎙 Google Podcasts: https://bit.ly/360XYIi
🍏 Apple Podcasts: https://apple.co/3vWFYte

🎙 Community Podcast #3: Травим баги DAST-ом

Продолжая тему анализаторов приложений говорим про Dynamic Analysis Security Testing (DAST) или попросту "динамику". А чтобы не говорить ерунды, я решил позвать ребят из компании Stingray, которые как раз пилят такой анализатор. Зачем они вообще за это взялись, с какими проблемами столкнулись, а также можно ли взять MobSF и не париться вы узнаете в этом выпуске.

Show notes:
🐟 Система «Cтингрей»: https://stingray-mobile.ru/
👳🏾‍♂️ MobSF: https://github.com/MobSF/Mobile-Security-Framework-MobSF
🔍 Inspeckage - еще один динамический анализатор: https://github.com/ac-pm/Inspeckage

314019:44пожаловаться #6

Android:_борьба_с_оверлеями_и_контракты_Kotlin_—_«Хакер».pdf

(609.09 Кб)

Android/ борьба с оверлеями и контракты Kotlin — «Хакер»

340919:49пожаловаться #7

2021 June 29

HTB_Spectra_Пентестим_WordPress_и_повышаем_привилегии_в_Unix_—_«Хакер».pdf

(1.53 Мб)

HTB Spectra. Пентестим WordPress и повышаем привилегии в Unix — «Хакер»

344820:24пожаловаться #8

PrintNightmare (CVE-2021-1675): Remote code execution in Windows Spooler Service

https://github.com/afwu/PrintNightmare

#exploit #git

286720:45пожаловаться #9

https://cloud.mail.ru/public/rbiS/eo4Tq4P1V
Пароль: boominfo.org
SRE онлайн-интенсив [2020]

503622:01пожаловаться #10

Uncle Rat's XXE Handbook hide01.ir.zip

(568.02 Мб)

pass:hide01.ir
https://www.udemy.com/course/uncle-rats-xxe-handbook/

546822:05пожаловаться #11

2021 June 30

Russian-based DoubleVPN taken down by international law enforcement

Правоохранительные органы, в который входят Секретная служба США и Федеральное бюро расследований, утверждает, что DoubleVPN вела журналы трафика и личную информацию о пользователях сервиса, и заявляет, что получил данные, захватив серверы DoubleVPN.
«29 июня 2021 года правоохранительные органы отключили DoubleVPN. Правоохранительные органы получили доступ к серверам DoubleVPN и изъяли личную информацию, журналы и статистику, хранящиеся в DoubleVPN обо всех своих клиентах. Владельцы DoubleVPN не смогли предоставить обещанные услуги»

«Международные правоохранительные органы продолжают коллективно бороться с пособниками киберпреступности, где бы и как бы они ни были совершены. Расследование в отношении данных клиентов этой сети будет продолжено».

До закрытия сайт DoubleVPN утверждал, что служба не вела журналов и статистических данных о своих пользователях. https://www.cnet.com/news/russian-based-doublevpn-taken-down-by-international-law-enforcement/

CNET

A virtual private network based in Russia has been taken offline by an international law enforcement collective that claim to have obtained user logs and personal information from seized servers.

388608:54пожаловаться #12

Лайфхаки_для_DevOps_Маленькие_хитрости_и_большие_инструменты_на.pdf

(3.11 Мб)

Лайфхаки для DevOps. Маленькие хитрости и большие инструменты на каждый день — «Хакер»

414123:12пожаловаться #13

2021 July 01

Stack Overflow Is Sold! But What’s Its future?

Stack Overflow продан Prosus за 1,8 миллиарда долларов. https://betterprogramming.pub/what-would-be-stack-overflows-future-after-this-1-8b-acquisition-607f50759699

Medium

Let’s find out how it may benefit or affect programmers

427513:12пожаловаться #14

2021 July 03

Мастер-класс: тестирование Vue-приложений (2021) PCRec
тестирование Vue-компонентов не самая сильная сторона даже тех, кто съел собаку на тестировании к примеру backend-кода. Здесь “аукается” то, что во Vue очень много сложных возможностей, которые нетривиально тестировать. Добавьте к этому некие удивительные особенности @vue/test-utils (у автора порядка 10 принятых pull-requests в репозиторий) - и получите прекрасный коктейль сложного тестирования.
Видео представляют собой небольшие (~15-30 минут) фрагменты теоретических изысканий, объясняющих всё “на пальцах” (а точнее пером по экрану).
Практическая часть
Семинар представляет собой написание и критику конкретных тестов на Jest реального кода с пояснением что и для чего применяется. Другими словами: соотношение “документации” к практике ее применения составляет около 30 к 70% по оценке автора.

magnet:?xt=urn:btih:7693e58f9f246085f5c2d057cede52feab279e98&dn=[underver.se].t212335.torrent&tr=udp%3A%2F%2Ftracker.coppersurfer.tk%3A6969&tr=udp%3A%2F%2Ftracker.leechers-paradise.org%3A6969&tr=udp%3A%2F%2Fexplodie.org%3A6969&tr=udp%3A%2F%2Ftracker.opentrackr.org%3A1337&tr=http%3A%2F%2Fretracker.local/announce&tr=http%3A%2F%2Fund3rv3rse.info%2Ffree%2Fannounce

355803:22пожаловаться #15

2021 July 04

Смотрите "HackTheBox - Ophiuchi" на YouTube
https://youtu.be/9-AQQkJA1X4

00:00 - Intro
00:45 - Start of nmap, looking at release date of tomcat
04:00 - Starting a bruteforce of /manager login to run in the background
06:55 - Playing with the YAML Parser, sending special characters leads to a stack trace showing the library
08:15 - Testing a YAML Deserialization payload for Snake YAML
09:15 - Start of weaponizing the payload
13:20 - Having a lot of trouble with building out a payload due to special characters
18:50 - Making it simple, just downloading a script then executing it
22:20 - Finally got a shell
24:10 - Going into how we know the sudoers file is non-default by date or filesize
25:00 - Finding out install date of a linux machine by SSH Host Key
25:50 - Finding where tomcat is installed and then grabbing the password out of the config tomcat-users
29:00 - Trying the tomcat password with the admin user
30:00 - Going over the go source code which can be ran with sudo
32:00 - Downloading the web assembly so we can decompile the wasm into a wat then edit it
37:00 - Got Root, showing…

HackTheBox - Ophiuchi

334903:07пожаловаться #16

Смотрите "Fuzzer Crash Root Cause Analysis With ASAN (AddressSanitizer)" на YouTube
https://youtu.be/_W3D_0erZ00

Root Cause Analysis With AddressSanitizer (ASan)

Now that we found a crash and got a minimal testcase last episode, we can now try to find the true location of the overflow. ASan is an invaluable tool for that.

Fuzzing Project: https://fuzzing-project.org/tutorial2.html
Grab the files: https://github.com/LiveOverflow/pwnedit
Full Playlist: https://www.youtube.com/playlist?list=PLhixgUqwRTjy0gMuT4C3bmjeZjuNQyqdx

Episode 6:
00:00 - Intro
00:47 - Create sudo ASan build
01:47 - Investigating weird issue
04:14 - Accidentally solving the problem
05:10 - Improve AddressSanitizer Debug Output
06:49 - Interpreting AddressSanitizer Output
07:23 - Triaging More Unique Crashes
08:25 - Plan For Next Steps

-=[ ❤️ Support ]=-

→ per Video: https://www.patreon.com/join/liveoverflow
→ per Month: https://www.youtube.com/channel/UClcE-kVhqyiHCcjYwcpfj9w/join

-=[ 🐕 Social ]=-

→ Twitter: https://twitter.com/LiveOverflow/
→ Website: https://liveoverflow.com/
→ Subreddit: https://www.reddit.com/r/LiveOverflow/
→ Facebook: https://www.facebook.com/LiveOverflow/

360203:13пожаловаться #17