I completed the Web Security Academy lab:
2FA simple bypass

#authentication_bypass #WebAppSec
https://portswigger.net/web-security/authentication/multi-factor/lab-2fa-simple-bypass

I just completed the Web Security Academy lab:

Authentication bypass via OAuth implicit flow

#AuthenticationBypass #WebAppSec #Cybersecurity

https://portswigger.net/web-security/oauth/lab-oauth-authentication-bypass-via-oauth-implicit-flow

Ever found /backup.zip five minutes before your report was due?

Yeah - this one’s for you.

We just gave our URL Fuzzer a good refresh - cleaner look, more detailed specs, and faster results you can truly act on.

Because attackers love the stuff no one remembers to lock down:
🔒 /backup.zip
🔧 /admin-old/
📦 /staging/
…you get the idea.

Now it’s even easier to:
✅ Uncover unlinked or forgotten resources
✅ Spot exposed config files, DB dumps, and admin panels
✅ Cut through static and surface real exposure - fast

📎 Try the new experience 👉 https://pentest-tools.com/website-vulnerability-scanning/discover-hidden-directories-and-files

#offensivesecurity #webappsec #vulnerabilityassessment

Auch heuer geb ich bei der ditact wieder einen Workshop zur "Web Application Security". Als hands-on intro, bei der wir uns interaktiv in das ethical hacking von Web-Apps einarbeiten.

Quick facts:
* 1.-2. Sept.
* Vor Ort am TechnoZ Campus der Uni Salzburg
* kurze Intro in Web Application Security
* dann iterativ 4 verbreitete Vulnerabilities kennenlernen, exploiten probieren und diskutieren, wie wir sie verhindern

Mehr Details hier: https://ditact.ac.at/course/2615-kurs-web-application-security-hands-on-intro

#ditact #WebAppSec #hacking

Okay let's talk #WednesdayWin. Please share your stories no matter how big or small. Our community: #InfoSec #CyberSec needs to hear some positive stories. All accomplishments count.

For me: 11 years in Open Source #OpenSource

According to LinkedIn I've been working in/on Open Source for 11 years. I suspect that's on the low side, between ZAP and OWASP, but whatever.

#DAST #AppSec #WebAppSec

Huge thanks to Checkmarx for making possible for me to work on it full time as of last fall. It's been just over 200 days, and it's wonderful!

The @zaproxy team did some stuff in March 😎 You can get the details here:

https://www.zaproxy.org/blog/2025-04-02-zap-updates-march-2025/

#DAST #AppSec #WebAppSec #DevSecOps

malicious npm packages (again) targeting cryptocurrency projects, CEOs cranky over CVEs, and BlackLock gets pantsed - here's your Friday wrap up in Infosec News 👇

🔗 https://opalsec.io/daily-news-update-friday-march-28-2025-australia-melbourne/

Here's a quick rundown of what's inside:

📦 npm Package Nightmare: 10 packages compromised by an infostealer campaign targeting developer environments. Sensitive data was siphoned off to a remote host. Most of the packages are still available on npm, so be careful!
🦊 Firefox Flaw: A critical sandbox escape vulnerability (CVE-2025-2857) patched in Firefox 136.0.4. Windows users, update ASAP! This one's similar to a Chrome zero-day used in espionage campaigns.
🏥 Ransomware Reckoning: Advanced, a UK healthcare IT provider, slapped with a £3.1 million fine after a LockBit ransomware attack. Lack of vulnerability scanning and poor patch management were key factors.
🌐 Extension Exploitation: Browser extensions can be bought and repurposed, posing a sneaky threat to enterprises. An extension was bought for $50 and was quickly repurposed to redirect traffic.
⚡ Solar Scare: Dozens of vulnerabilities in solar inverters could let attackers disrupt power grids. Remote code execution, device takeover, and more are possible.
😠 CrushFTP Clash: CEO responds aggressively to VulnCheck after critical unauthenticated access vulnerability (CVE-2025-2825) is released. Vulnerability disclosure and patching processes need to be improved!
🕵️‍♀️ Pegasus in Serbia: Journalists targeted with Pegasus spyware, marking the third time in two years that Amnesty has found Pegasus deployed against Serbian civil society.
🤖 Mamont Malware: Russian authorities arrest three for developing the Mamont Android banking trojan. This malware steals financial data and spreads through Telegram.
🦹 Ransomware Reverse: Resecurity infiltrates the BlackLock ransomware gang, gathering intel to help victims. LFI vulnerability exploited, and data shared with authorities.

Stay vigilant out there, folks! 🛡️

#Cybersecurity #InfoSec #Vulnerability #Ransomware #Malware #npm #Firefox #Pegasus #SolarInverters #DataBreach #ThreatIntel #CyberThreats #SecurityNews #WebAppSec #ZeroDay #PatchManagement #infostealer #blacklock #crushftp #mamont

📰 @zaproxy ⚡ release 2.16.1 just landed: https://www.zaproxy.org/blog/2025-03-25-zap-2-16-1/

#AppSec #WebAppSec #BugBountyTips #PenTest #DevSecOps

Giant set of #zaproxy add-on releases this morning. Including many fixes and improvements.

#DAST #AppSec #DevSecOps #WebAppSec #RedTeam #WebAppSec

#WednesdayWin I had a PR merged this morning which means none of ZAP's core scan rules (active and passive) any longer use CWE-200 which is not supposed to be mapped 🥳🎉

#AppSec #WebAppSec #standards #DevSecOps #PenTest #Redteam #PurpleTeam

How have you WON this week?!?!

ХАКЕРИ ФСБ ВИКОРИСТОВУЮТЬ WHATSAPP ДЛЯ АТАК НА УКРАЇНЦІВ

Дослідники повідомили, що російська державна хакерська група Star Blizzard нещодавно намагалася скомпрометувати облікові записи WhatsApp некомерційних організацій, які допомагають Україні.

Починаючи з середини листопада, хакери запустили кампанію з надсилання фішингових повідомлень, які видавали себе за урядовців США, пропонуючи одержувачам запрошення приєднатися до групи WhatsApp для некомерційних організацій, які підтримували Україну під час війни. Хоча дослідники не сказали, де саме розташовані організації, фейкова група WhatsApp називалася «Група американсько-українських неурядових організацій».

Як і під час попередніх атак, Star Blizzard спочатку зв’язалася зі своїми цілями електронною поштою, а потім надіслала друге повідомлення зі шкідливим посиланням.

Посилання направляло жертв на веб-сторінку, яка пропонувала їм сканувати QR-код, щоб приєднатися до групи. Насправді QR-код мав на меті зв’язати обліковий запис жертви з пристроєм, яким керують зловмисники, дозволяючи їм отримувати доступ і викрадати повідомлення жертви за допомогою законних плагінів браузера.

Вважається, що Star Blizzard також відстежена як Callisto Group і пов’язана з Федеральною службою безпеки Росії (ФСБ).

https://therecord.media/russia-star-blizzard-whatsapp-ukraine

#whatsapp #кібербезпека #messenger #messengers #webappsec #infosec #cybersecurity #intelligence #nationalsecurity

According to my VM update this morning @zaproxy 2.16.0 is now available on @kalilinux
#DAST #PenTest #WebAppSec #AppSec #RedTeam #PurpleTeam

#WebAppSec #AppSec #DAST #PenTest #PurpleTeam #DevSecOps #zaproxy

УКРАЇНЦІВ МАСОВО ЗЛАМУЮТЬ В TELEGRAM

За останній тиждень до мене двічі зверталися люди з проханням відновити їм доступ в Telegram. На жаль, я не чарівник, щоби за змахом чарівної палички робити дива.

Для розслідування мені потрібні факти - скріншоти, дати, записи, логи, яких зазвичай ніхто не має.

За моїми спостереженнями, з вересня-жовтня пішла ціла хвиля атак на український сегмент Telegram. Масово зламуються облікові записи, навіть з багатофакторною автентифікацією (!).

Відповідальність за це, на мою думку, повністю на плечах нинішньої безтолкової та інфантильної влади. Яка ще на початку війни замість того щоб відмовитися від Телеграму як російського шпигунського додатка, усіляко популяризувала, пропихала і заохочувала його! У мене збереглися штук 100 SMS від Кіберполіції з посиланнями приєднуватися на їх Telegram-групи.. А зараз вони лише розводять руками, через що люди змушені шукати хакера, щоб я їм допомагав на волонтерських засадах! Хоча, я не силовик і не маю таких повноважень.... Та й такі інциденти в умовах ВОЄННОГО СТАНУ прирівнюються до диверсії! Але замість того, щоб ЗАХИЩАТИ, вони відловлюють по вулицям мирних громадян, створюючи в країні додаткову напругу і небезпеку! Й правду старі оперативники говорять, що там залишились одні лиш ухилянти і профнепридатні..

Я часто нагадував: будьте обережні - в Telegram чимало критичних вразливостей, про які вже давно ніхто нікому не повідомляє... Їх експлуатують в темну. І в цьому винен у першу чергу сам нарцис Дуров, який наплювательськи відносився до Bug-хантерів, часто-густо ігноруючи їх повідомлення або виплачуючи мізерні кошти...

Повторюю ще раз, почуйте мене:

1. Telegram не можна використовувати як платформу для ведення особистої або корпоративної комунікації. Для цього існують спеціалізовані захищені платформи. На моє здивування, досі в Україні є ІТ-компанії, які використовують Telegram як CRM-систему!! ((DATAGROUP VOLIA і MWDN)).

2. Ніякого шифрування в Telegram не існує! Інакше він би не працював з такою швидкістю!! Стійке шифрування накладає свій відпечаток... Тому, всі розмови про захищеність і конфіденційність Telegram - це маркетингова обгортка, не більше. Подумайте самі - сервери зберігають ключі шифрування!! Це вже є серйозним порушенням криптографії! Ніхто крім власника немає мати доступу до приватних ключів. До речі, в інфраструктурі Telegram осінтерами були помічені сервери з російським IP...

3. На Росії давним-давно Telegram API використовують як базу для проведення різноманітних атак і операцій. І це ні для кого не секрет. Дивно, що українців це майже не бентежить і не турбує! Головне - там "зручно"!

4. Отже, враховуючи усе вищесказане, Telegram можна використовувати лише як НОВИННУ СТРІЧКУ, і баста!

І ще: Не зберігайте ніколи свої паролі в браузері - встановіть нарешті менеджер паролей KeepassXC і використовуйте його як базу даних! (https://keepassxc.org)

Також наполегливо рекомендую ознайомитись з моїм довідково-аналітичним матеріалом про Telegram, який вже потрапив у ЗМІ і почав потроху набирати перегляди:

https://kr-labs.com.ua/blog/bezpeka-i-anonimnist-v-telegram/

#telegram #cybersecurity #cybercrime #attacks #RussianAttacks #RussiaUkraine #RussiaIsATerroristState #телеграм #кібербезпека #безпека #webappsec #appsec #opsec

ARCHIVE.ORG ЗЛАМАНО!

Вебархів "The Wayback Machine" (Archive.org) зламали. В результаті стався масштабний витік інформації. Конфіденційні дані 31 млн користувачів, які були там зареєстровані, вже продають на тіньових форумах. Витік зареєстрували у базі HaveIBeenPwned (HIBP). Компрометовані такі дані як: Email addresses, Passwords, Usernames. Як зазначає Трой Хант, засновник HIBP, зловмисник виклав SQL-базу даних розміром 6,4 Гб. Остання позначка часу на викрадених записах – 28 вересня 2024 року.

Як зазначають відвідувачі сайту web.archive.org, у день атаки вони бачили спливаюче вікно JavaScript з текстом: «Ви коли-небудь відчували, що Інтернет-архів працює на палицях і постійно перебуває на межі катастрофічного порушення безпеки? Це просто трапилося. Побачте 31 мільйон із вас на HIBP!».

Також повідомляється, що напередодні Інтернет-Архів зазнав DDOS-атаки, за якою нібито стоїть проарабське угрупування sn_blackmeta.

В інтернеті користувачі діляться різноманітними версіями кому було вигідно завалити Вебархів. Дехто зазначає, що уряди і корпорації роками переслідували їх за «порушення авторських прав».

"Хтось, хто не хоче, щоб ми поверталися в минуле й знаходили незручні видалені повідомлення чи дописи", - припускає один із дописувачів порталу BleepingComputer.

#webarchive #hacked #webappsec #infosec #cybercrime #security #cybersec #cybersecurity #кібербезпека #archive #databreach #leaks

Get the latest on @zaproxy's future from @psiinon & Ori Bendet via @scmagazine and Application Security Weekly podcast

#AppSec #WebAppSec #DAST #PenTesting #DevSecOps #RedTeam

https://www.scworld.com/podcast-segment/13268-the-future-of-zed-attack-proxy-simon-bennetts-ori-bendet-asw-302

The first season of my #podcast "Bitcoin Security Maps" is complete!

https://www.youtube.com/watch?v=G5ljwXSH6Vc

It's a junior level enterprise with thirty episodes of transcendental InfoSec foundations from the #civilian #intelligence realm. This includes some basic #Recon in the #WebAppSec Testing series. And a full #InfoSec Philosophy and Theory series with a unique sequence and a final conclusion: a new human communications #protocol.

I enjoyed creating this because it combines all my professional passions: writing, computing, security, filmmaking, digital arts, intelligence, business, health, metaphysics, people, psychology, art, money, and even music - I played the theme beats live!

The whole production was out of pocket and produced by myself. This includes a couple years of learning, practice, organization and note making. Read the notes in the descriptions.

Episodes are recorded live in one take and the audio is recorded seperately at the same time. Watch it on youtube, and when this is censored, continue to tune in over the Nostr protocol.

It's important for me to have a strong knowledgebase in the direction of ongoing #national #security #disclosures, hence this overall approach with a value-for-value RSS setup.

The best parts will begin in the upcoming second season. These will feature very precise mappings of #bitcoin #security in relation to #electrical and #economic #energy.

See you at the meetups!

#bugbounty #aspie #appsec

Local Intelligence Series: Wrocław - Update (Mid Summer 2024)
https://www.youtube.com/watch?v=7MzHUwBGxLM

This is an episode about the initial mappings of how the city of Wrocław works in Poland. It's about the tangible apparent system and the possible hints of the hidden matrix in its framework. By following the money and the prime industries as they interconnect human civilian daily life, it is possible to get a sense of the pulse of the networks. There is a security presence, and an ongoing development of infrastructure which maintains a general neutral sense of balance. How secure is this from any outside threats, whether physical, virtual or mental? F# around and find out! Maybe this will lead to creating a local NGO for Web App Sec wizards or a mesh of BTC LN nodes for the significant organizations supporting ecological thriving in town.

#BitcoinSecurityMaps #meshcode #BSM #MattyK #cyberpowertelenoia #theskyishigh #civilianintelligence #MindMaps
#Security #CyberSecurity #securitylies #Bitcoin #Lightning #Node #Money #Finance #Economy #BTC #hashrate #culture #intelligence #civilian

#InfoSec #Information #Technology #Computing #Software #Digital #DigitalLiteracy #System #P2P #cypherpunk #appsec #WebAppSec #Recon #Reconnaissance #Testing #EthicalHacking

#aspie #ET #elf #lightworker #magic #wizard

#attune #state #consciousness #subconscious #realm #sphere #dimension #layer #level #point #attention #beinghuman #time #freedom #privacy #anonymity #peace #justice #value #clarity #safety #alignment #coordination #disclosure #harmony #holistic #ecosystem #ecology #thriving #sacred #sustainability

Professional Refinement - Bug Bounty Hunter Certification Roadmap (2023)

https://www.youtube.com/watch?v=ONVF-3jjlOY

As a Web Application Bug Bounty Hunter it may be helpful to consider the placement of one's work on a map of possibilities. Working at a company is not the same as working freelance in this field and the positions differ greatly. Organizations primarily hire juniors on the defensive side, while it is easier for freelancers to start themselves on the junior offensive side. This in turn depends on the civilization one is from and the various existing cultures! The global knowledge base and certifications can be indicators of the quality and depth of insight which is needed in order to understand the nature of a successful Web Application Security Tester's daily life. There are many open source approaches one may take, from entry-level general quick courses to very specialized long term deeper studies.

#BitcoinSecurityMaps #meshcode #BSM #MattyK #cyberpowertelenoia #theskyishigh #civilianintelligence #MindMaps #Security #CyberSecurity #culture #intelligence #civilian #certification #professional

#InfoSec #WebAppSec #Testing #EthicalHacking #Offensive #SecurityOperations #BugBounty #Hunter #roadmap

#aspie #attune

Professional Refinement - Passing CompTIA Security+ (2023)

https://www.youtube.com/watch?v=BRQ-uILXAgU

This episode is about the author's study process for passing the foundational Cyber Security "CompTIA Security+" exam in 2023. It's all about the timeframe, study materials and the live testing approach. One book has the knowledge. Another book has the tests. An online course compliments this. Answering a couple thousand quizz questions helps. Making mind maps assists in weaving sense from the realm of computing machines which themselves are interconnected as part of their existence, so in a way this helps make the theory real, because it is founded on what is known about reality through physics.

#BitcoinSecurityMaps #meshcode #BSM #MattyK #cyberpowertelenoia #theskyishigh #civilianintelligence #MindMaps #Security #CyberSecurity #culture #intelligence #civilian #certification #professional

#InfoSec #Information #Technology #Computing #Software #Digital #DigitalLiteracy #cypherpunk #appsec #WebAppSec #Testing #EthicalHacking #BugBounty #DevSecOps #SSDLC #SecurityOperations #CompTIA

#aspie #asperger #autism #neuro #neurodiverse #nontypical #neuronontypical #neurotuypical #atypical #neuroatypical #ET #elf #lightworker #magic #wizard

#attune #state #consciousness #subconscious #realm #sphere #dimension #layer #level #point #attention #beinghuman #time #freedom #privacy #anonymity #peace #justice #value #clarity #safety #alignment #coordination #disclosure #harmony #holistic #ecosystem #ecology #thriving #sacred #sustainability