payloadforge4d ago

Passed the CRTO. Five years late, but passed.
The interesting bit isn't the badge - it's what the course looks like in 2026 vs what I bought in 2020. Different platform, tradecraft, exam. Wrote it up: a few tips, a couple of small tools.
Also reported two security issues during labs, both under coordinated disclosure. Technical detail in a follow-up.

https://payloadforge.io/crto-lifetime-access-to-a-course-that-doesnt-exist-any-more/
#CRTO #RedTeam #OffSec #AdversarySimulation

CRTO: Lifetime access to a course that doesn't exist any more

I bought Red Team Ops on 30 July 2020, order #00531, £649 plus VAT. Canvas LMS access, shared VPN labs, both Covenant and Cobalt Strike taught as C2 options. The Cobalt Strike trial came through Strategic Cyber LLC, the small operation Mudge ran before HelpSystems (later Fortra) absorbed it. Scheduled

Payload Forge
BSides312May 6
Your last pen test was outdated before the report was even delivered.
At BSides312, Paul Petefish is introducing the Continuous Penetration Testing Methodology (CPTM), a framework that transforms pen testing from an episodic checkbox into an always-on security function.
20+ years in offensive security. He wrote CPTM because the old way stopped making sense.
May 16th. Chicago.
🎟️ https://bsides312.org
#BSides312 #InfoSec #CyberSecurity #PenTest #OffSec #ContinuousSecurity #Chicago
Calling all papersMay 1

24 hours until the CfP for "Cajusec 2026" closes: https://papercall.io/cfps/6592/submissions/new

#cfp #conference #Hacking #Evasion #Bypass #Offsec #Mobile hacking #Android #Ios #Edr evasion #Defensive #Pentest #Mobile #Web #Api #Ad #Activedirectory

PaperCall.io

Show threadKittenKannon™Apr 21
@cmconseils that's so #offsec ♥️
HabrApr 21

Не ради сертификата: мой опыт HTB CWES

Сразу обозначу: это не райтап. Тут не будет пошагового разбора экзамена, спойлеров по машинам или каких-то секретных техник. У меня нет красивой истории про призвание, мечту всей жизни или про то, как я с детства шёл именно к этому. Мне просто нравится становиться сильнее в том, что я делаю, и видеть, как это даёт результат. Это скорее мой личный взгляд на HTB CWES (Certified Web Exploitation Specialist): почему я вообще туда пошёл, как проходило обучение, что чувствовал на экзамене и какие выводы для себя сделал. Отдельный интересный вопрос — как вообще всё это успевать, когда у тебя работа, семья, дети и собака, которой тоже почему-то всегда что-то нужно именно в тот момент, когда ты сел спокойно позаниматься. Думаю, многим эта история знакома. Если говорить честно и не быть лицемером, моя основная мотивация довольно простая — это деньги 😂. Деньги через рост в карьере, через опыт и усиление как специалиста . Чем ты сильнее в профессии, тем больше у тебя возможностей: интереснее проекты, выше стоимость на рынке, больше вариантов для роста.

https://habr.com/ru/articles/1026188/

#Pentest #offsec #htb #cwes #cwee #security #education

Не ради сертификата: мой опыт HTB CWES

Введение и мотивация Сразу обозначу: это не райтап . Тут не будет пошагового разбора экзамена, спойлеров по машинам или каких-то секретных техник. Это скорее мой личный взгляд на HTB CWES (Certified...

Хабр
Rubén Santos GarcíaApr 19
GitHub Actions is a secrets vault with a pipeline attached. pull_request_target + fork checkout = attacker gets your secrets. ${{ github.event.issue.title }} in a run step is command injection. Mutable action tags let one compromised maintainer hit thousands of repos (see tj-actions 2025). Self-hosted runners are persistent footholds. https://www.kayssel.com/newsletter/issue-46/
#InfoSec #CyberSecurity #Pentesting #BugBounty #OffSec #SupplyChain
GitHub Actions: Pipelines as Attack Surface

pull_request_target pwn requests, script injection via expressions, secrets exfiltration, poisoned pipeline execution, self-hosted runner persistence, and Gato-X

Kayssel
HabrApr 16

Системной подход к сдаче OSWE в 2025

Offensive Security Web Expert ( OSWE ) – продвинутая сертификация offsec по безопасности WEB приложений. Причем ключевым отличием от менее известного Offensive Security Web Assessor ( OSWA ) является упор на анализ исходного кода приложения, то есть поиск уязвимостей в формате «белого» ящика. Окончательное решение сдавать этот экз я принял на бизнес съезде в Турции, когда познакомился с предпринимателем, который проходил ironman (ссылка) дважды. Мой поздний достигатель сразу загорелся идеей о стремительной подготовке. Однако товарищ председатель кооператива задал мне закономерный вопрос: «А OSWE сдать ты не хочешь?». 9 апреля 2025 года, в своём телеграм-канале PathSecure я опубликовал новость о приобретении курса :)

https://habr.com/ru/articles/1024100/

#pentest #offsec #oswe #web #security #education

Системной подход к сдаче OSWE в 2025

Введение Offensive Security Web Expert ( OSWE ) – продвинутая сертификация offsec по безопасности WEB приложений. Причем ключевым отличием от менее известного Offensive Security Web Assessor ( OSWA )...

Хабр
Negative PID SLApr 13

Open security and OffSec projects
https://negativepid.blog/open-security-and-offsec-projects/

#openSource #cyberSecurity #offSec #openSourceProjects #openCode #applications #cyberattacks #cyberThreats #onlineSecurity #negativepid

Open security and OffSec projects - Negative PID

Security research is one of the areas where open source has had the deepest and most complex impact. Tools built openly are used to defend critical

Negative PID
Carlos Mogas da SilvaApr 9

🎯 Passed the OSCP+!  

After a lot of late nights, practice labs, and more failed shells than I'd like to admit — I finally have the cert in hand.

Some words for the family: Thank you — the late nights would have been much harder without your patience and understanding.

On to the next one. 🔐 🤐 🙈

#OSCP #OffSec

Negative PID SLApr 8

Inside the tools of Anonymous

https://negativepid.blog/inside-the-tools-of-anonymous/

#anonymous #hackingTools #hackers #offSec #offensiveKits #Cybersecurity #cyberattacks #cyberThreats #onlineSecurity #negativepid

Inside the tools of Anonymous - Negative PID

In the mythology of Anonymous, operations often looked spontaneous — a flash-mob of code striking from nowhere, vanishing just as quickly. But behind that

Negative PID