Классная авка
Дело в том, что я потерял исходники от авы канала, и наша с вами задача спустя 3 года выбрать что-то новое, выручайте!
Дело в том, что я потерял исходники от авы канала, и наша с вами задача спустя 3 года выбрать что-то новое, выручайте!
🤮18🔥7
🤮22💅5🔥4
YAH
ruDALL-E XL сгенерировала вашу картинку: Хакер https://rudalle.ru/check_image/5a4b102329d74dc89fe88bd04e017a28/%D1%85%D0%B0%D0%BA%D0%B5%D1%80/ Ну и как ей отказать?
Все предложенные варианты это ответ на промпт: "хакер", в одну и ту же нейронку: ruDALL-E, спустя 3 года.
Качество результатов вы можете оценить сами. Традиции менять не будем, след авку сделаем там же.
Качество результатов вы можете оценить сами. Традиции менять не будем, след авку сделаем там же.
👍9🤮5❤4🤡1
Forwarded from SecAtor
Исследователи Oligo Security обнаружили новую уязвимость 0.0.0.0 Day, существующую с 2006 года и затрагивающую все основные браузеры, которую можно использовать через вредоносные сайты могут для взлома локальных сетей.
По словам исследователей, критическая уязвимость реализует фундаментальный недостаток обработки сетевых запросов браузерами, потенциально предоставляя злоумышленникам доступ к конфиденциальным службам, работающим на локальных устройствах.
Влияние уязвимости имеет далеко идущие последствия, поскольку вызвана непоследовательной реализацией механизмов безопасности и отсутствием стандартизации в разных браузерах.
В результате, казалось бы, безобидный IP-адрес, такой как 0.0.0.0, может быть использован для эксплуатации локальных служб, что приведет к несанкционированному доступу и RCE за пределами сети.
0.0.0.0 Day работает на Google Chrome/Chromium, Mozilla Firefox и Apple Safari, позволяя внешним сайтам взаимодействовать с ПО, работающим локально на MacOS и Linux.
Но не затрагивает Windows, поскольку Microsoft блокирует IP-адрес на уровне ОС.
В частности, Oligo Security заметила, что общедоступные сайты, использующие домены на com, могут взаимодействовать со службами в локальной сети и позволяют выполнять произвольный код на хосте посетителя, используя адрес 0.0.0.0, а не localhost/127.0.0.1.
Проблема по сути представляет собой обход доступа к частной сети (PNA), который предназначен для того, чтобы запретить публичным сайтам напрямую получать доступ к конечным точкам, расположенным в частных сетях.
Любое приложение, работающее на локальном хосте и доступное по адресу 0.0.0.0, вероятно, подвержено RCE, включая локальные экземпляры Selenium Grid, отправляя запрос POST на адрес 0.0.0[.]0:4444 со специально созданной полезной нагрузкой.
Ожидается, что в ответ на результаты исследования разработчики браузеров полностью заблокируют доступ к 0.0.0.0, тем самым исключив возможность прямого доступа к конечным точкам частной сети с общедоступных веб-сайтов.
Пока же используя 0.0.0.0 вместе с режимом no-cors, злоумышленники могут использовать публичные домены для атак на службы, работающие на локальном хосте, и даже получать возможность RCE, и все это с помощью одного HTTP-запроса.
Разработчики Chrome уже объявили, что вскоре заблокируют подключение публичных сайтов к локальным ресурсам через IP-адрес 0.0.0.0. Запрет вступит в силу с выпуском Chrome 133, который ожидается примерно в январе следующего года.
Причем ранее Google запретила такой доступ к локальным ресурсам через более известные URL-адреса localhost и 127.0.0.1/8, но попросту забыла заблокировать URL-адрес 0.0.0.0 в то время - в основном потому, что он касался только пользователей macOS и Linux.
Но будем посмотреть.
По словам исследователей, критическая уязвимость реализует фундаментальный недостаток обработки сетевых запросов браузерами, потенциально предоставляя злоумышленникам доступ к конфиденциальным службам, работающим на локальных устройствах.
Влияние уязвимости имеет далеко идущие последствия, поскольку вызвана непоследовательной реализацией механизмов безопасности и отсутствием стандартизации в разных браузерах.
В результате, казалось бы, безобидный IP-адрес, такой как 0.0.0.0, может быть использован для эксплуатации локальных служб, что приведет к несанкционированному доступу и RCE за пределами сети.
0.0.0.0 Day работает на Google Chrome/Chromium, Mozilla Firefox и Apple Safari, позволяя внешним сайтам взаимодействовать с ПО, работающим локально на MacOS и Linux.
Но не затрагивает Windows, поскольку Microsoft блокирует IP-адрес на уровне ОС.
В частности, Oligo Security заметила, что общедоступные сайты, использующие домены на com, могут взаимодействовать со службами в локальной сети и позволяют выполнять произвольный код на хосте посетителя, используя адрес 0.0.0.0, а не localhost/127.0.0.1.
Проблема по сути представляет собой обход доступа к частной сети (PNA), который предназначен для того, чтобы запретить публичным сайтам напрямую получать доступ к конечным точкам, расположенным в частных сетях.
Любое приложение, работающее на локальном хосте и доступное по адресу 0.0.0.0, вероятно, подвержено RCE, включая локальные экземпляры Selenium Grid, отправляя запрос POST на адрес 0.0.0[.]0:4444 со специально созданной полезной нагрузкой.
Ожидается, что в ответ на результаты исследования разработчики браузеров полностью заблокируют доступ к 0.0.0.0, тем самым исключив возможность прямого доступа к конечным точкам частной сети с общедоступных веб-сайтов.
Пока же используя 0.0.0.0 вместе с режимом no-cors, злоумышленники могут использовать публичные домены для атак на службы, работающие на локальном хосте, и даже получать возможность RCE, и все это с помощью одного HTTP-запроса.
Разработчики Chrome уже объявили, что вскоре заблокируют подключение публичных сайтов к локальным ресурсам через IP-адрес 0.0.0.0. Запрет вступит в силу с выпуском Chrome 133, который ожидается примерно в январе следующего года.
Причем ранее Google запретила такой доступ к локальным ресурсам через более известные URL-адреса localhost и 127.0.0.1/8, но попросту забыла заблокировать URL-адрес 0.0.0.0 в то время - в основном потому, что он касался только пользователей macOS и Linux.
Но будем посмотреть.
www.oligo.security
0.0.0.0 Day: Exploiting Localhost APIs From the Browser | Oligo Security
Oligo Security's research team recently disclosed the “0.0.0.0 Day” vulnerability. This vulnerability allows malicious websites to bypass browser security and interact with services running on an organization’s local network
🤡8❤2
Мысли о CyberEd и оффлайн тренингах
Мальчики и девочки, рад и горжусь тем что CyberEd из года в год занимает все более полезное место в движе экспертного сообщества, которое развивается благодаря таким мероприятиям как OFFZONE.
Вместе с партнером ( BI.ZONE ) мы уже 3-ий год подряд создаем специальное событие: интенсивный оффлайн треннинг, в живой неповторимой обстановке хакерской конференции. Я думаю, многие из вас слышали и знают референсы, на которые мы ровняемся, вроде тренингов на Defcon и BlackHat, которые проходят ежегодно, стоят по нескольку тысяч долларов и дают возможность приобрести редкие навыки и знаний от именитых хакеров, экспертов своего дела.
Я уверен, что сейчас это абсолютно особенное мероприятие в масштабах России, потому что после пусть иотмененного позабытого всеми Covid-19, представить себе оффлайн тусич с интенсивной работой для 40-ка начинающих или искушенных кибербезопасников непросто.
Уже после Covid стало ясно, что оффлайн обучение для людей, которые постоянно заняты своим развитием, работой и жизнью, достаточно накладное мероприятие и поэтому мы делаем такие евенты только 1 раз в год и только в самой сочной для этого атмосфере "хардовой конфы".
Не упустите возможность обзавестись новыми знакомствами, навыками, наставниками и опытом в целом, который уникален даже в масштабе страны.
В особенности я предлагаю рассмотреть это бизнесу и управленцам, сотрудники которых могут благодаря таким событиям принести с конференции не только насмотренность на тренды, но и конкретные приемы и апгрейд для процессов\инструментов и техник команды.
Присоединяйтесь к редким событиям, авторами которых вы возможно однажды станете сами!
👇
Мальчики и девочки, рад и горжусь тем что CyberEd из года в год занимает все более полезное место в движе экспертного сообщества, которое развивается благодаря таким мероприятиям как OFFZONE.
Вместе с партнером ( BI.ZONE ) мы уже 3-ий год подряд создаем специальное событие: интенсивный оффлайн треннинг, в живой неповторимой обстановке хакерской конференции. Я думаю, многие из вас слышали и знают референсы, на которые мы ровняемся, вроде тренингов на Defcon и BlackHat, которые проходят ежегодно, стоят по нескольку тысяч долларов и дают возможность приобрести редкие навыки и знаний от именитых хакеров, экспертов своего дела.
Я уверен, что сейчас это абсолютно особенное мероприятие в масштабах России, потому что после пусть и
Уже после Covid стало ясно, что оффлайн обучение для людей, которые постоянно заняты своим развитием, работой и жизнью, достаточно накладное мероприятие и поэтому мы делаем такие евенты только 1 раз в год и только в самой сочной для этого атмосфере "хардовой конфы".
Не упустите возможность обзавестись новыми знакомствами, навыками, наставниками и опытом в целом, который уникален даже в масштабе страны.
В особенности я предлагаю рассмотреть это бизнесу и управленцам, сотрудники которых могут благодаря таким событиям принести с конференции не только насмотренность на тренды, но и конкретные приемы и апгрейд для процессов\инструментов и техник команды.
Присоединяйтесь к редким событиям, авторами которых вы возможно однажды станете сами!
👇
👍10🔥4🤡3
Forwarded from CyberED
Вы готовы к OFFZONE?
В этот раз на конференции мы организуем для вас сразу несколько новых активностей. Рассказываем, что приготовили:
🏖 CyberED Relax Zone
В просторном лаундже на открытом воздухе вы сможете заказать безалкогольные напитки, зарядить гаджеты, сделать фото в дополненной реальности ИИ, покрутить педали велозарядки и получить фирменный мерч.
Любителей кальяна будет ждать кальянный лаундж в зеленой зоне🌿
Сделайте паузу в насыщенной программе!🥤Обменяйте коины CyberED на напитки, возможность сделать фото и насладиться кальяном на свежем воздухе!
➡️ Бизнес зона
Консультанты CyberED расскажут все о наших продуктах. Проведите время с пользой! Узнайте больше о CyberED и получите мерч.
🛠 Зона воркшопов
Кто хорошо отдыхает, тот хорошо… развивается!
Для тех, кто хочет развить свою экспертизу в ИБ и научиться решать нестандартные задачи, мы подготовили 4 новых воркшопа. Тренеры поделятся секретами, а вы прокачаете теоретические и практические знания по темам:
(воркшопы с записью)
🎁 Для всех студентов и выпускников CyberED действуют скидки!
➡️ Подробнее о воркшопах
Получите максимум от участия в OFFZONE!
В этот раз на конференции мы организуем для вас сразу несколько новых активностей. Рассказываем, что приготовили:
В просторном лаундже на открытом воздухе вы сможете заказать безалкогольные напитки, зарядить гаджеты, сделать фото в дополненной реальности ИИ, покрутить педали велозарядки и получить фирменный мерч.
Любителей кальяна будет ждать кальянный лаундж в зеленой зоне🌿
Сделайте паузу в насыщенной программе!🥤Обменяйте коины CyberED на напитки, возможность сделать фото и насладиться кальяном на свежем воздухе!
Консультанты CyberED расскажут все о наших продуктах. Проведите время с пользой! Узнайте больше о CyberED и получите мерч.
Кто хорошо отдыхает, тот хорошо… развивается!
Для тех, кто хочет развить свою экспертизу в ИБ и научиться решать нестандартные задачи, мы подготовили 4 новых воркшопа. Тренеры поделятся секретами, а вы прокачаете теоретические и практические знания по темам:
• Мониторинг атак и защита подручными средствами в режиме real-time • Уязвимости CI/CD • «Мешок картошки»: интересные особенности и практический анализ Potato-атак • Malware Peristence Techniques(воркшопы с записью)
➡️ Подробнее о воркшопах
Получите максимум от участия в OFFZONE!
Please open Telegram to view this post
VIEW IN TELEGRAM
❤4🤡2👍1
Forwarded from Похек (Сергей Зыбнев)
Что будет с Bug Bounty в 2025 году? Андрей Лёвкин BI.ZONE Bug Bounty
#bugbounty #багбаунти #bizone
Третий выпуск Poxek Podcast с Андреем Лёвкиным, product owner'ом BI.ZONE BugBounty и естественно мы обсудили насущные проблемы в багбаунти и вообще получилось очень душевно)
Вот что там обсудили:
➡️ История Андрея. Из Пентестера в Продукт Овнера
➡️ Багбаунти 2025
➡️ Пентест VS Багбаунти. Почему оба процессы важны
➡️ Ивенты для багхантеров
➡️ Инсайды развития багбаунти сферы
➡️ Пожелания Андрея по развитию багбаунти в РФ
Если вы багхантер, пентестер или вам интересна тема багбаунти и кибербезопасности, слушайте подкаст на любимых платформах:
📹 YouTube
📺 RuTube
💙 VK Видео
🎵 Apple Podcasts
🎵 Яндекс.Музыка
☕️ Mave
🌚 @poxek | 📹 YouTube | 🌚 Мерч Похек
#bugbounty #багбаунти #bizone
Третий выпуск Poxek Podcast с Андреем Лёвкиным, product owner'ом BI.ZONE BugBounty и естественно мы обсудили насущные проблемы в багбаунти и вообще получилось очень душевно)
Вот что там обсудили:
Если вы багхантер, пентестер или вам интересна тема багбаунти и кибербезопасности, слушайте подкаст на любимых платформах:
Please open Telegram to view this post
VIEW IN TELEGRAM
👍15🤮4❤3🤡1
Forwarded from Кибербез образование
Надзорщик за инфраструктурой: что делает VM-специалист и как им стать? 🤔
Александр Леонов написал на Хабре статью о профессии специалист по управлению уязвимостями 🥷
Из статьи вы узнаете:
1️⃣ Кто такой VM-специалист?
2️⃣ Что делать VM-специалисту, чтобы быть эффективным?
3️⃣ Тяжело ли стать таким специалистом?
4️⃣ Почему VM-специалисты высоко востребованы на рынке?
5️⃣ Как становятся VM-специалистами?
#профессии_в_ИБ
Александр Леонов написал на Хабре статью о профессии специалист по управлению уязвимостями 🥷
Из статьи вы узнаете:
#профессии_в_ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍3🔥2🤮2🤡1