Fuzz.txt

•Transferir como PPS, PDF•

0 gostou•1,391 visualizações

Positive Hack Days

fuzz.txt

Tecnologia

People....
-People are stupid
-Admins & devs are pepole
-Admins & devs are stupid

.bash_history
/.git/index
phpinfo.php
/phpmyadmin/
/server-status/
/.idea/workstantion.xml
/.ssh/id_rsa
/.idea/workspace.xml
error.log
test.php
1.php
/stats/
/install/

Как собиралась база
-Опыт
-Известные уязвимости, CVE
-Лайфхаки друзей

Как собиралась база
- Логи с ханипотов- Логи с ханипотов
- Логи с атакованных сайтов- Логи с атакованных сайтов

Как собиралась база
Атаки на клиентов Wallarm

Как собиралась база
.cvsignore
.gitignore
.npmignore
.svnignore
.hgignore

Инструмент:
Важно
• Многопоточность
• Работа с большим списком хостов
• Работа с разными портами
• Не пропускать файлы
• Удобно разгребать фалсы

Отзывы
супер-пупер, супер-дупер,
тупер-мупер, шмупер-вупер
шимба-бумба!
чикен-кукен,
лукен-тукен,
фукен-цукен
без комментариев

Ну и само чудо
https://bo0om.ru/fuzz.txt
https://github.com/0x90/httpscan

Тут какая-то общая надпись, но
мы её не придумали
@090
h
@i_bo0om

Mais conteúdo relacionado

Semelhante a Fuzz.txt

It is considered (rigthly in most cases) that it's a bad manner to implement a daemon using PHP. It's OK for prototyping but no-no for production. That were our thoughts when we've started to implement a new version of browser game. It was planned to describe an interface to communicate with daemon that will be then rewritten in pure C. However, fist libevent PHP daemon performance tests forced us to think if we really need to rewrite it in C. What was the performance? Are there memory leaks? All these will be covered in the speech. You will also learn about problems, features and how a real project results.

PHP libevent Daemons. A high performance and reliable solution. Practical exp...

Arvids Godjuks

Роман Еникеев - PHP или откуда взялся слон

DataArt

Доклад был представлен на официальной российской конференции PG Day'14 Russia, посвященной вопросам разработки и эксплуатации PostgreSQL. С момента старта проекта на PostgreSQL были возложены серьёзные задачи. Это во многом предопределило успешное развитие всего продукта. Вокруг СУБД выстроены основные компоненты архитектуры, при этом сами базы берут на себя львиную долю обработки пользовательских запросов. Набор фич и расширений, легендарная надёжность PostgreSQL, наличие встроенной репликации, средств резервирования и архивирования — весь потенциал нашел своё воплощение, а наличие открытого профессионального комьюнити не оставляет шансов к неэффективной реализации. В докладе будет дан обзор развития подсистем, сосредоточенных вокруг PostgreSQL, представлены параметры и режимы функционирования. Будут описаны успешные решения в рамках отдельного PostgreSQL-кластера и при распределенной обработке данных, приведены текущие вызовы, связанные с продолжающимся активным ростом проекта.

PG Day'14 Russia, PostgreSQL в avito.ru, Михаил Тюрин

pgdayrussia

BlackBox testing

beched

Безопасность весна 2014 лекция 7

Technopark

Let's talk about what chaos engineering is and how this discipline can be applied in projects where PHP is used as the main language. Among other things, we will cover the following topics: What problems does chaos engineering solve? What are the solutions exist? How to develop your own solution? What is a controlled failover? A little about ZendEngine and what tools are out of the box? A bit about chaos design. A bit about the code leading to chaos.

Serghei Iakovlev "Chaos engineering in action"

Fwdays

PostgreSQL - Ups, DevOps..., Алексей Лесовский (PostgreSQL-Consulting)

Ontico

Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях

Positive Hack Days

Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах

revisium

Антивирусная система Яндекса ежедневно обнаруживает тысячи взломанных сайтов. Периодически среди них встречаются крупные и известные интернет-ресурсы. Администраторы сайтов часто оказываются не готовы к тому, что злоумышленник может пробраться через внешний периметр и исполнить произвольный код на стороне сервера. В результате перед ними встаёт нелегкая задача: обнаружить последствия и предотвратить дальнейшие проблемы. Доклад посвящён практикам и инструментам, которые могут существенно повысить эффективность противодействия вредоносной активности, и профилактике её возникновения.

Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков

Yandex

Обзор Continuous integration инструментов

Vitalii Morvaniuk

Защита от эксплойтов и новых, неизвестных образцов. Рассмотрены технические аспекты работы решения. Отображена работа защиты на актуальных семплах ransomware, RAT и т.д. Дополнительно показаны схемы активации и закрепления семплов в системе. Контент будет полезен руководителям и сотрудникам ИТ/ИБ подразделений.

Palo Alto Traps - тестирование на реальных семплах

Vladyslav Radetsky

PHP

Vasya Petrov

современная практика статического анализа безопасности кода веб приложений

Sergey Belov

Лекция Петра Волкова в Школе вебмастеров: «Как защитить свой сайт». https://academy.yandex.ru/events/webmasters_school/yawebm2015/ Актуальные типы угроз и динамика их развития Компрометация сервера и её последствия. Распределённые атаки типа «отказ в обслуживании». Подмена или добавление рекламы на стороне клиента. Атаки, направленные на пользователей. Проблемы, связанные со внешним содержимым. Управление рисками безопасности веб-сайтов Разные типы сайтов подвержены разным типам рисков информационной безопасности. Понимание целей и подходов злоумылшенников как ключ к эффективному снижению рисков. Методы монетизации атак на сайты. Доступный инструментарий и методики для обеспечения безопасности Открытые инструменты форензики для типовых и сложных проектов. Системы обнаружения вторжений, подходы к проектированию безопасности в архитектуре и процессах.

Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров

Yandex

11 лекция, петр волков

karina krew

Опыт эксплуатации большого проекта на Ruby

Alex Chistyakov

Sivko

kuchinskaya

CodeFest 2012 - Пентест на стероидах

Sergey Belov

Что нового в NOVA Microhypervisor

Yandex

Semelhante a Fuzz.txt (20)

PHP libevent Daemons. A high performance and reliable solution. Practical exp...

Роман Еникеев - PHP или откуда взялся слон

PG Day'14 Russia, PostgreSQL в avito.ru, Михаил Тюрин

BlackBox testing

Безопасность весна 2014 лекция 7

Serghei Iakovlev "Chaos engineering in action"

PostgreSQL - Ups, DevOps..., Алексей Лесовский (PostgreSQL-Consulting)

Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP-сценариях

Приемы, затрудняющие обнаружение и анализ вредоносного кода в PHP скриптах

Опенсорс-инструменты на страже безопасности бэкенда — Петр Волков

Обзор Continuous integration инструментов

Palo Alto Traps - тестирование на реальных семплах

PHP

современная практика статического анализа безопасности кода веб приложений

Как защитить свой сайт, Пётр Волков, лекция в Школе вебмастеров

11 лекция, петр волков

Опыт эксплуатации большого проекта на Ruby

Sivko

CodeFest 2012 - Пентест на стероидах

Что нового в NOVA Microhypervisor

Mais de Positive Hack Days

Инструмент ChangelogBuilder для автоматической подготовки Release Notes

Positive Hack Days

Как мы собираем проекты в выделенном окружении в Windows Docker

Positive Hack Days

Типовая сборка и деплой продуктов в Positive Technologies

Positive Hack Days

1. Что такое BI. Зачем он нужен. 2. Что такое Qlik View / Sense 3. Способ интеграции. Как это работает. 4. Метрики, KPI, планирование ресурсов команд, ретроспектива релиза продукта, тренды. 5. Подключение внешних источников данных (Excel, БД СКУД, переговорные комнаты).

Аналитика в проектах: TFS + Qlik

Positive Hack Days

Использование анализатора кода SonarQube

Positive Hack Days

Развитие сообщества Open DevOps Community

Positive Hack Days

Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...

Positive Hack Days

Approof — статический анализатор кода для проверки веб-приложений на наличие уязвимых компонентов. В своей работе анализатор основывается на правилах, хранящих сигнатуры искомых компонентов. В докладе рассматривается базовая структура правила для Approof и процесс автоматизации его создания.

Автоматизация построения правил для Approof

Positive Hack Days

Задумывались ли вы когда-нибудь о том, как устроены современные механизмы защиты приложений? Какая теория стоит за реализацией WAF и SAST? Каковы пределы их возможностей? Насколько их можно подвинуть за счет более широкого взгляда на проблематику безопасности приложений? На мастер-классе будут рассмотрены основные методы и алгоритмы двух основополагающих технологий защиты приложений — межсетевого экранирования уровня приложения и статического анализа кода. На примерах конкретных инструментов с открытым исходным кодом, разработанных специально для этого мастер-класса, будут рассмотрены проблемы, возникающие на пути у разработчиков средств защиты приложений, и возможные пути их решения, а также даны ответы на все упомянутые вопросы.

Мастер-класс «Трущобы Application Security»

Positive Hack Days

Формальные методы защиты приложений

Positive Hack Days

Эвристические методы защиты приложений

Positive Hack Days

Теоретические основы Application Security

Positive Hack Days

Разработка наукоемкого программного обеспечения отличается тем, что нет ни четкой постановки задачи, ни понимания, что получится в результате. Однако даже этом надо программировать то, что надо, и как надо. Докладчик расскажет о том, как ее команда успешно разработала и вывела в промышленную эксплуатацию несколько наукоемких продуктов, пройдя непростой путь от эксперимента, результатом которого был прототип, до промышленных версий, которые успешно продаются как на российском, так и на зарубежном рынках. Этот путь был насыщен сложностями и качественными управленческими решениями, которыми поделится докладчик

От экспериментального программирования к промышленному: путь длиной в 10 лет

Positive Hack Days

Немногие разработчики закладывают безопасность в архитектуру приложения на этапе проектирования. Часто для этого нет ни денег, ни времени. Еще меньше — понимания моделей нарушителя и моделей угроз. Защита приложения выходит на передний план, когда уязвимости начинают стоить денег. К этому времени приложение уже работает и внесение существенных изменений в код становится нелегкой задачей. К счастью, разработчики тоже люди, и в коде разных приложений можно встретить однотипные недостатки. В докладе речь пойдет об опасных ошибках, которые чаще всего допускают разработчики Android-приложений. Затрагиваются особенности ОС Android, приводятся примеры реальных приложений и уязвимостей в них, описываются способы устранения.

Уязвимое Android-приложение: N проверенных способов наступить на грабли

Positive Hack Days

Разработка любого софта так или иначе базируется на требованиях. Полный перечень составляют бизнес-цели приложения, различные ограничения и ожидания по качеству (их еще называют NFR). Требования к безопасности ПО относятся к последнему пункту. В ходе доклада будут рассматриваться появление этих требований, управление ими и выбор наиболее важных. Отдельно будут освещены принципы построения архитектуры приложения, при наличии таких требований и без, и продемонстрировано, как современные (и хорошо известные) подходы к проектированию приложения помогают лучше строить архитектуру приложения для минимизации ландшафта угроз.

Требования по безопасности в архитектуре ПО

Positive Hack Days

Доклад посвящен разработке корректного программного обеспечения с применением одного из видов статического анализа кода. Будут освещены вопросы применения подобных методов, их слабые стороны и ограничения, а также рассмотрены результаты, которые они могут дать. На конкретных примерах будет продемонстрировано, как выглядят разработка спецификаций для кода на языке Си и доказательство соответствия кода спецификациям.

Формальная верификация кода на языке Си

Positive Hack Days

Механизмы предотвращения атак в ASP.NET Core

Positive Hack Days

SOC для КИИ: израильский опыт

Positive Hack Days

Honeywell Industrial Cyber Security Lab & Services Center

Positive Hack Days

Credential stuffing и брутфорс-атаки

Positive Hack Days

Mais de Positive Hack Days (20)

Инструмент ChangelogBuilder для автоматической подготовки Release Notes

Как мы собираем проекты в выделенном окружении в Windows Docker

Типовая сборка и деплой продуктов в Positive Technologies

Аналитика в проектах: TFS + Qlik

Использование анализатора кода SonarQube

Развитие сообщества Open DevOps Community

Методика определения неиспользуемых ресурсов виртуальных машин и автоматизаци...

Автоматизация построения правил для Approof

Мастер-класс «Трущобы Application Security»

Формальные методы защиты приложений

Эвристические методы защиты приложений

Теоретические основы Application Security

От экспериментального программирования к промышленному: путь длиной в 10 лет

Уязвимое Android-приложение: N проверенных способов наступить на грабли

Требования по безопасности в архитектуре ПО

Формальная верификация кода на языке Си

Механизмы предотвращения атак в ASP.NET Core

SOC для КИИ: израильский опыт

Honeywell Industrial Cyber Security Lab & Services Center

Credential stuffing и брутфорс-атаки

Último

CVE-2024-0204 как ключ под ковриком, для не прошедших проверку подлинности, и желающих создать своего собственного пользователя-администратора. Эта уязвимость может быть использована удалённо и является классическим примером CWE-425: "Принудительный доступ, когда веб-приложение просто слишком вежливое, чтобы обеспечить надлежащую авторизацию". Уязвимые версии 6.x начиная с 6.0.1 и версии 7.x до 7.4.1, которая была исправлена, а для уязвимых версией необходимо удалить файл /InitialAccountSetup.xhtml или заменить на пустой с перезапуском службы/ Последствия подобны альбому величайших хитов о кошмарах безопасности: 📌Создание неавторизованных пользователей-администраторов (акция «избавляемся от складских запасов аутентификационных ключей») 📌Потенциальная утечка данных (для повышения популярности компании) 📌Внедрение вредоносных программ (вместо традиционных схем распространения) 📌Риск вымогательства (минутка шантажа) 📌Сбои в работе (разнообразие от повелителя хаоса) 📌Комплаенс и юридические вопросы (ничто так не оживляет зал заседаний, как старый добрый скандал с комплаенсом и потенциальная юридическая драма) Планка "сложности атаки" установлена так низко, что даже малыш может споткнуться об неё. Отмечается простота, которая заставляет задуматься, не является ли "безопасность" просто модным словом, которым они пользуются, чтобы казаться важными

CVE. The Fortra's GoAnywhere MFT [RU].pdf

Хроники кибер-безопасника

Документ содержит руководство по эффективной стратегии и тактике реагирования на инциденты (IR). Руководство, разработанное группой реагирования на инциденты Microsoft, призвано помочь избежать распространённых ошибок и предназначено не для замены комплексного планирования реагирования на инциденты, а скорее для того, чтобы служить тактическим руководством, помогающим как группам безопасности, так и старшим заинтересованным сторонам ориентироваться в расследовании реагирования на инциденты. В руководстве также подчёркивается важность управления и роли различных заинтересованных сторон в процессе реагирования на инциденты

MS Navigating Incident Response [RU].pdf

Ирония безопасности

DCRat, швейцарский армейский нож киберпреступного мира, истинное свидетельство предпринимательского духа, процветающего в темных уголках Интернета. С момента своего грандиозного дебюта в 2018 году DCRat стал незаменимым гаджетом для каждого начинающего злодея со склонностью к цифровым проказам. По очень низкой цене в 7 долларов можно приобрести двухмесячную подписку на это чудо современного вредоносного ПО, а для тех, кто действительно предан делу, доступна пожизненная лицензия за внушительную сумму в 40 долларов. DCRat служит напоминанием, что в эпоху цифровых технологий безопасность настолько сильна, насколько сильна способность не переходить по подозрительным ссылкам.

Malware. DCRAT (DARK CRYSTAL RAT) [RU].pdf

Хроники кибер-безопасника

LockBit 3.0 завоевал золото на хакерской олимпиаде, за ним последовали отважные новички Clop и ALPHV/BlackCat. По-видимому, 48% организаций почувствовали себя обделёнными вниманием и решили принять участие в кибератаках. Бизнес-сервисы получили награду в номинации "наиболее подверженные цифровому взлому", а образование и розничная торговля последовали за ними. Хакеры расширили свой репертуар, перейдя от скучного старого шифрования к гораздо более захватывающему миру вымогательства. Не бедные страны США, Великобритания и Канада заняли первое место в категории "страны, которые, скорее всего, заплатят". Биткоины были предпочтительной валютой, хотя некоторые стали поглядывать в сторону Monero. Некоторые организации пытались сэкономить на выкупе, заплатив только 37%. Тем, кто все-таки раскошелился, пришлось в среднем отдать $408 643. Кибер-преступность действительно окупается!

2023 Q4. The Ransomware report. [RU].pdf

Хроники кибер-безопасника

С 4368 жертвами, пойманными в их цифровые сети, киберпреступникам удалось превзойти самих себя по эффективности на 55,5% по сравнению с предыдущим годом, вот что значит KPI. Средняя сумма выкупа для предприятия выросла до более чем 100 000 долларов, при этом требования в среднем составляли крутые 5,3 миллиона долларов. 80% организаций придерживаются политики "Не платить", и все же в прошлом году 41% в итоге заплатили выкуп. И для тех, кто думает, что страховка может спасти положение, подумайте ещё раз. 77% организаций на собственном горьком опыте убедились, что программы-вымогатели – это далеко не то, за что страховая с лёгкостью заплатит, не проверив, а всё ли вы сделали для защиты.

Ransomware_Q3 2023. The report [RU].pdf

Хроники кибер-безопасника

В постоянно развивающемся мире ИБ, где цифровая сфера устойчива, как карточный домик во время урагана, появился новаторский документ под названием "Доктрина киберзащиты, которая управляет рисками: полное прикладное руководство по организационной киберзащите", предположительно написанный израильским Сунь Цзы из эпохи цифровых технологий. Доктрина, являющаяся шедевром кибернетической мудрости, делит свои стратегии оценки рисков и управления ими на два направления, вероятно, потому что одно из них является слишком уже не модно. Эти направления изобретательно основаны на потенциальном ущербе для организации – новой концепции, для воплощения которой, должно быть, потребовалось как минимум несколько сеансов мозгового штурма за чашкой кофе. Как принято сегодня говорить, доктрина является ярким примером приверженности индустрии киберзащиты … к тому, чтобы как можно подробнее изложить очевидное. Она убеждает нас в том, что перед лицом киберугроз мы всегда можем положиться на объёмные документы, которые защитят нас.

Cyber Defense Doctrine Managing the Risk Full Applied Guide to Organizational...

Ирония безопасности

Мир кибербезопасности пополнился последней и самой совершенной версией общей системы оценки уязвимостей CVSS версии 4.0. Эта версия обещает произвести революцию в том, как мы оцениваем критичность и влияние уязвимостей ПО, ведь версия 3.1 была всего лишь разминкой. 📌 Более детализированные базовые показатели. если есть что-то, что любят профессионалы в области ИБ, так это детализация. Теперь мы не только можем оценить воздействие на уязвимую систему, но и потратить тысячу листов на детализацию, это уже серьёзный уровень профессионализма 📌 Группа угроз – критичность уязвимости может быть скорректирована в зависимости от того, мог ли кто-то где-то подумать о их использовании, и теперь паранойя всегда подкрепляется последними данными об угрозах. 📌 Метрики окружения позволяют адаптировать оценку к нашей конкретной вычислительной среде. ничто так не говорит о "индивидуальности", как корректировка оценок на основе множества мер по смягчению последствий. 📌 Показатели угроз были упрощены до уровня зрелости эксплойтов. если и есть что-то, что легко определить, так это то, насколько зрелым является эксплойт. 📌 Система подсчёта оценки стала проще и гибче и … больше. если и есть какое-то слово, которое ассоциируется с CVSS, так это простота, ведь теперь поддерживается несколько оценок для одной и той же уязвимости Итак, CVSS версии 4.0 призван спасти положение благодаря своей повышенной ясности, простоте и повышенному вниманию ко всем мелочам и деталям. Потому что, как мы все знаем, единственное, что доставляет больше удовольствия, чем оценка уязвимостей, — это делать это с помощью новой, более сложной системы.

СИСТЕМА ОЦЕНКИ УЯЗВИМОСТЕЙ CVSS 4.0 / CVSS v4.0 [RU].pdf

Хроники кибер-безопасника

Действие очередной кибер-саги разворачивается в мистических землях Азиатско-Тихоокеанского региона, где главные герои (или антагонисты, в зависимости от вашего взгляда на конфиденциальность данных и необходимость доступа к ним) начали свое цифровую деятельность ещё в середине 2021 года и качественно усилили её в 2022 году. Вооружённый арсеналом инструментов и специально разработанного вредоносного программного обеспечения, предназначенного для кражи данных и шпионажа, Dark Pink был воплощением настойчивости. Их любимое оружие? Фишинговые электронные письма, содержащие сокращённый URL-адрес, который приводил жертв на бесплатный файлообменный сайт, где их ждал ISO-образ, конечно же вредоносный. Давайте углубимся в цели кибер-художников. Корпоративный шпионаж, кража документов, аудиозапись и утечка данных с платформ обмена сообщениями – все это было делом одного дня для Dark Pink. Их географическая направленность, возможно, начиналась в Азиатско-Тихоокеанском регионе, но их амбиции не знали границ, нацелившись на европейское правительственное министерство в смелом шаге по расширению своего портфолио. Их профиль жертв был таким же разнообразным, как совещание ООН, нацеливаясь на военные организации, правительственные учреждения и даже религиозную организацию. Потому что дискриминация это не модная повестка. В мире киберпреступности они служат напоминанием о том, что иногда самые серьёзные угрозы приходят в самых непритязательных упаковках с розовым бантиком.

Cyberprint. Dark Pink Apt Group [RU].pdf

Хроники кибер-безопасника

Пристегнитесь, потому что мы собираемся отправиться в захватывающее путешествие по мистической стране инноваций Китая, где драконы прошлого превратились в единорогов мира технологий. Да, мы говорим о превращении Китая из любимой в мире машины Xerox в сияющий маяк инноваций. И как им удалось совершить этот удивительный подвиг? Ведь теперь Запад сидит в стороне, заламывая руки и задаваясь вопросом: "Должны ли мы вскочить в уходящий поезд или придерживаться другого плана действий?" Оказывается, Запад ещё не полностью перехитрили, и у него все ещё есть несколько козырей в рукаве. В статье проповедуется, что сидеть и смотреть не самый разумный выбор. Вместо этого Западу следует напрячь свои демократические мускулы и чутье свободного рынка, чтобы остаться в игре.

ИСТОЧНИКИ ИННОВАЦИОННОСТИ КИТАЯ (ПО ВЕРСИИ DGAP) | The Sources of China’s Inn...

Ирония безопасности

Fuzz.txt

1. fuzz.txt всё очень просто

2. PHDays IV (2014)

3. People.... -People are stupid -Admins & devs are pepole -Admins & devs are stupid

4. .bash_history /.git/index phpinfo.php /phpmyadmin/ /server-status/ /.idea/workstantion.xml /.ssh/id_rsa /.idea/workspace.xml error.log test.php 1.php /stats/ /install/

5. Как собиралась база -Опыт -Известные уязвимости, CVE -Лайфхаки друзей

6. Как собиралась база - Логи с ханипотов- Логи с ханипотов - Логи с атакованных сайтов- Логи с атакованных сайтов

7. Как собиралась база Атаки на клиентов Wallarm

8. Как собиралась база .cvsignore .gitignore .npmignore .svnignore .hgignore

9. Инструмент: Важно • Многопоточность • Работа с большим списком хостов • Работа с разными портами • Не пропускать файлы • Удобно разгребать фалсы

10. Отзывы супер-пупер, супер-дупер, тупер-мупер, шмупер-вупер шимба-бумба! чикен-кукен, лукен-тукен, фукен-цукен без комментариев

11. Ну и само чудо https://bo0om.ru/fuzz.txt https://github.com/0x90/httpscan

12. Тут какая-то общая надпись, но мы её не придумали @090 h @i_bo0om

Fuzz.txt

Recomendados

Recomendados

Mais conteúdo relacionado

Semelhante a Fuzz.txt

Semelhante a Fuzz.txt (20)

Mais de Positive Hack Days

Mais de Positive Hack Days (20)

Último

Último (9)

Fuzz.txt