Пост Импакта

Для того чтобы найти дополнительные директории в веб-приложении. 1. Можно попытаться найти swagger-файлы, используя брутфорс 💬 Прикреплён словарь в файле swagger.txt 2. Извлечь их из apk 💬 Используем jadx или apktool + grep скачиваем, используя загрузчики — чем больше тем лучше из-за DMCA: apkcombo.com/downloader/ apk.support/apk-downloader apps.evozi.com/apk-downloader/ apkmirror.com apkpure.com apkeep 3. Поискать в js на сайте jsluice linkfinder (BApp) 4. Извлечь из архива web.archive.org/cd...

Вот и закончилась конференция KazHackStan, организаторы были гостеприимны к иностранным гостям, сняли им дорогой отель и угостили барашком. Доклады, которые были на конференции прикреплены файлами к посту выше: «Выйди и зайди нормально!» (Ломаем Bitrix) @i_bo0om «Атакуем языковые модели» @wearetyomsmnv «Что нужно учитывать при первом участии в Bug Bounty?» @turbobarsuchiha — triage team Standoff365 «Ломаем Ethereum: Пентестинг Смарт-Контрактов» @gspdnsobaka — triage team Immunefi «Red Purple Tea...

В нашем новом выпуске мы пригласили человека из мира мобильного багхантинга, активного участника форума Antichat, и автора проекта reFlutter. Его история вызывает восхищение и уважение 🦾 https://youtu.be/2KCSxYQ543M

Недавно OpenAI представила для подписчиков Plus контекстное окно в 32к токенов! А еще возможность создания кастомных GPT на основе своих данных. Мне пришла идея создать свою сборку — загрузить чеклисты и методологии файлами в конфигуратор. Представляю вашему вниманию Кавычка GPT Теперь модель больше не будет спорить с вами об этичности пэйлоадов. https://chat.openai.com/g/g-5KWmQ9wKU-kavychka-gpt

Что сдать на ББ чтобы не отправили в спам Недавно меня пригласили поговорить по мужски за Багбаунти и уязвимости в мобильных приложениях, в целом вышло познавательно ИБ: @OxFi5t @luigivampa92 @impact_l Разработчик: @osipxd P.S. первые 5 минут были проблемы со связью youtube.com/live/DAHdYrSIhp8

Выпустили Nuclei v3 — добавили возможность писать код на bash, Python, Javascipt прямо в YAML файлах. А также запускать другие утилиты, например sqlmap. Поскольку теперь шаблоны могут выполнять код, нужно задаться вопросом безопасности, в статье релиза сказано что шаблоны модерируются и подписываются подписью. Поскольку теперь поддерживаются разные "протоколы" можно вытащить например СNAME для доменов. Получается Nuclei это теперь оркестратор с поддержкой Javascript 🤔 code: - engine: - sh - bas...

Новая статья в блоге PT SWARM про раскрытие исходного кода asp[.]net приложений https://swarm.ptsecurity.com/source-code-disclosure-in-asp-net-apps/

Незабываемый отдых на Бали! 🌴 Хочешь полететь на Бали, поплавать в море и окунуться в атмосферу индонезийских тропических островов? У тебя есть шанс! Скоро конец подачи докладов на SAS 2024! Security Analyst Summit — это эксклюзивная трехдневная конференция, для ведущих исследователей в области борьбы с вредоносным ПО, групп реагирования на компьютерные инциденты и т.д. На конференции спикеры впервые поделятся эксклюзивными докладами и идеями. Отправить заявку: thesascon.com/papers Об отеле: so...

3️⃣, 2️⃣, 1️⃣ — поехали! Открываем прием заявок на выступления на киберфестивале Positive Hack Days 2 Если вы всегда мечтали собрать целый стадион, у нас отличные новости: PHDays Fest в этом году пройдет в «Лужниках» в Москве с 23 по 26 мая. Спортивный комплекс на четыре дня превратится в киберарену: мы создадим настоящий мегаполис с интерактивными инсталляциями, а сотни спикеров расскажут о кибератаках и способах им противостоять. 🤟 Ждем крутых докладов как от профи, так и от новичков: главное...