·сертификации
Roadmap сертификаций по безопасности
Разбор проекта Security Certification Roadmap (Paul Jerimy): ранжированный список сертификаций с оценкой по сложности, стоимости и временным затратам.
Читать публикацию
Hunt Or Be Hunted
Я разбираю реальные веб‑уязвимости и показываю, как их искать, эксплуатировать в безопасной среде и закрывать в проде. Без воды: чек‑листы атак, редкие кейсы, ошибки разработчиков и практики защиты от CSRF, XXE, Prototype Pollution, десериализации, race conditions, XSS и не только. Если вы пишете веб или проверяете его на прочность — вам сюда.
·recon
Recon Toolset — набор инструментов для разведки
Инструменты для этапа разведки в pentest/bugbounty: amass, nmap, ffuf, crt.sh и другие полезные утилиты.
Читать публикацию
·csrf
CSRF: принципы, обходы и защита
Разбор CSRF: почему обходится SOP, ограничения отправки форм, особенности SameSite и базовые методы защиты (token, SameSite, Referrer).
Читать публикацию
·csrf
Cross-site request forgery (CSRF)
Разбор CSRF: что это, три ключевых условия эксплуатации (релевантное действие, авторизация через cookie, непредсказуемые параметры) и пример формы.
Читать публикацию
·php
PHP Type Juggling — особенности сравнения
Разбор PHP type juggling: магические хеши, поведение == и ===, риск обхода контроля доступа; рекомендации: ===, hash_equals(), password_verify().
Читать публикацию
·bscp
BSCP побежден!
Отчет о сдаче BSCP (Burp Suite Certified Practitioner): успешная попытка с первой попытки, прокторинг, проблемы с эксплоитами и нюансы оплаты.
Читать публикацию
·path traversal
Path Traversal (Directory Traversal, LFR) — чтение файлов
Краткое объяснение уязвимости Path Traversal / LFR: влияние (чтение файлов), отличия от LFI/RFI, пример payload и базовая защита.
Читать публикацию
·http2
HTTP Downgrade и Request Headers в Burp Suite
Короткое объяснение, почему Burp Suite показывает Request Headers похожими на HTTP/1 и как это связано с HTTP Downgrade и псевдо‑заголовками HTTP/2.
Читать публикацию
·xxe
XML External Entity (XXE) injection
Краткое объяснение XXE: виды (видимые, слепые, экзотические), пример полезной нагрузки, влияние (SSRF/LFI/RCE) и базовые способы защиты.
Читать публикацию
·ctfzone
Райтап по таскам CTFZone Quals 2024
Райтап по двум web‑таскам, написанным мной для CTFZone Quals 2024; средняя сложность, разбор доступен по ссылке, в посте — скриншот задания.
Читать публикацию
·offzone
Впечатления OffZone 2024
Короткие личные впечатления от инфобезного фестиваля OffZone 2024: стенды, CTF, локпикинг, комьюнити, мерч и встречи с коллегами.
Читать публикацию
·ssti
Mindmap к атаке SSTI
Красивая mindmap к атаке SSTI: визуальная схема этапов и векторов Server‑Side Template Injection для разбора.
Читать публикацию
