·http/1.1
HTTP/1.1 Must Die — итоги исследования
Разбор исследования Portswigger о проблемах HTTP/1.1 и технике request smuggling 0.CL; основные выводы и ссылка на лабораторию.
Читать публикацию
Hunt Or Be Hunted
Я исследую веб‑безопасность и делюсь практическими разбориками уязвимостей: от CSRF и XXE до Server‑Side XSS, race conditions и обходов CSP. Пишу чек‑листы атак и защиты, редкие кейсы из практики и мысли о мышлении пентестера. Только прикладной AppSec, понятные примеры и то, что реально встречается в проде. Учимся охотиться, пока на нас не охотятся.
·web cache deception
Web Cache Deception
Разбор уязвимости Web Cache Deception: принцип, пример полезной нагрузки, влияние и меры защиты. Упоминание Portswigger и Black Hat.
Читать публикацию
·oswe
OSWE Побежден
Короткий опыт сдачи OSWE: о сложности экзамена, требованиях к навыкам и рассуждение, почему эту сертификацию не стоит делать первой.
Читать публикацию
·аутентификация
Auth Attacks — часть 3: другие механизмы аутентификации
Третья часть цикла про векторы атак на аутентификацию: session fixation, кастомные куки, сброс пароля, CAPTCHAs, JWT/OAuth и редкие эксплойты.
Читать публикацию
·веб-пентест
Эволюция мышления веб‑пентестера
Рефлексия о четырёх этапах развития мышления веб‑пентестера: от «переиграть сканер» до открытия новых техник (например, HTTP Request Smuggling).
Читать публикацию
·mfa
Auth Attacks Part 2: Multi-Factor Authentication
Вторая часть про атаки на MFA: предсказуемые OTP, полный обход, подмена аккаунта, брутфорс и флуд; рекомендации (напр. Google Authenticator).
Читать публикацию
·cybersecurity
90 Days to CyberSecurity
Разбор 90‑дневного плана по инфобезу (репозиторий на GitHub) с предложениями: сократить время на Git, добавить криптографию, заменить облачную секцию на докеры/куберы.
Читать публикацию
·аутентификация
Атаки на авторизацию. Часть 1: Вход по паролю
Чеклист атак на формы логин‑пароль: брутфорс, credential stuffing, username enumeration, особенности вроде GraphQL и обходы CAPTCHA.
Читать публикацию
·сертификации
Roadmap сертификаций по безопасности
Разбор проекта Security Certification Roadmap (Paul Jerimy): ранжированный список сертификаций с оценкой по сложности, стоимости и временным затратам.
Читать публикацию
·recon
Recon Toolset — набор инструментов для разведки
Инструменты для этапа разведки в pentest/bugbounty: amass, nmap, ffuf, crt.sh и другие полезные утилиты.
Читать публикацию
·csrf
CSRF: принципы, обходы и защита
Разбор CSRF: почему обходится SOP, ограничения отправки форм, особенности SameSite и базовые методы защиты (token, SameSite, Referrer).
Читать публикацию
·csrf
Cross-site request forgery (CSRF)
Разбор CSRF: что это, три ключевых условия эксплуатации (релевантное действие, авторизация через cookie, непредсказуемые параметры) и пример формы.
Читать публикацию