Umumiy yechim.
O'zbekiston rivojlangan davlatlar qatoriga qo'shilish, davlatni rivojlantirish bo'yicha ko'p sarmoya , ko'p ishlar qilyabdi. Lekin xom o'ylangan qarorlar tufayli ko'plab muammolar kuzatilyabdi. Masalan to'g'ri taqsimlanmagan gaz, elektr energiyasi, xom o'ylangan online ta'lim tizimlari va hk. Hozir bulardan o'zimizni sohaga tegishli joylariga yechimlar qidirib ko'ramiz.
O'zbekiston hukumati davlatni IT davlatiga aylantirish (raqamlashtirish) uchun endigina mustamlakachilik siyosatidan chiqqan, o'zini yaqin tarixini, o'zini unutib kamiga O'zbek - o'ziga bekman deb olgan xalqqa butun boshli internet tarmog'ini ochib qo'ydi.
Yosh bola qo'liga pul berishdan avval pulni qanday ishlatishni o'rgatish kerak.
Internet tarmog'ida nima bor? Bu birinchi G'arbda paydo bo'lganligi uchun G'arb medialari u yerni to'liqligicha egallagan. Bu degani birinchi bo'lib G'arb madaniyati ko'zimizga tushadi.
O'zbekiston rivojlangan davlatlar qatoriga qo'shilish, davlatni rivojlantirish bo'yicha ko'p sarmoya , ko'p ishlar qilyabdi. Lekin xom o'ylangan qarorlar tufayli ko'plab muammolar kuzatilyabdi. Masalan to'g'ri taqsimlanmagan gaz, elektr energiyasi, xom o'ylangan online ta'lim tizimlari va hk. Hozir bulardan o'zimizni sohaga tegishli joylariga yechimlar qidirib ko'ramiz.
O'zbekiston hukumati davlatni IT davlatiga aylantirish (raqamlashtirish) uchun endigina mustamlakachilik siyosatidan chiqqan, o'zini yaqin tarixini, o'zini unutib kamiga O'zbek - o'ziga bekman deb olgan xalqqa butun boshli internet tarmog'ini ochib qo'ydi.
Yosh bola qo'liga pul berishdan avval pulni qanday ishlatishni o'rgatish kerak.
Internet tarmog'ida nima bor? Bu birinchi G'arbda paydo bo'lganligi uchun G'arb medialari u yerni to'liqligicha egallagan. Bu degani birinchi bo'lib G'arb madaniyati ko'zimizga tushadi.
π11π₯6π1
G'arb kim?
Bizni ko'zimizda rivojlangan, ta'limda bizdan yuqoriroqda turadigan tomon... Biz kim edik? Tarixni yaxshi biladiku, maqtanib qo'yadiku xalqimiz! Judayam buyuk olimlar o'tgan bunga misol keltirishim shartmas. Nega yana o'sha olimlar yo'lini tutish o'rniga G'arbni orqasidan ushladik?
Shunday qilib hechnarsadan habari yo'q xalqqa butun imkonyatlar ochib qo'yildi. Bunda aytilgandek yaxshi tomonlar albatta ko'p bo'ldi. Lekin biz bu tarmoq ichidagi tarbiyasi buzuqlar ta'limiga, turli yomon maqsaddagi odamlar gaplariga tayyor emas edik. Masalan yaqinda xalqimiz ko'd telefoningizga boradi, hizmat jihatdan tekshirib olishim kerak deyilsa berib yuborardi... Aynan shu ishonuvchanlik ortidan xalqdan millardlab o'g'irlashyabdi.
Yechim.
Biz firibgar saytlarni yopganimiz bilan yana qayta oshich, undanda kuchliroq qilib ochish muammo emas va saytlarni yopish to'g'ri yo'l emas. Xalqni kiber jinoyatlarga qarshi tura oladigan qilish eng samarali yo'l...
P.S. Bu bo'yicha albatta davlat ishlayabdi! Ta'lim vazirliklariga berilgan taklif bo'yicha hozir akademiya shu hatoni to'g'rilashi mumkin in shaa Alloh.
Bizni ko'zimizda rivojlangan, ta'limda bizdan yuqoriroqda turadigan tomon... Biz kim edik? Tarixni yaxshi biladiku, maqtanib qo'yadiku xalqimiz! Judayam buyuk olimlar o'tgan bunga misol keltirishim shartmas. Nega yana o'sha olimlar yo'lini tutish o'rniga G'arbni orqasidan ushladik?
Shunday qilib hechnarsadan habari yo'q xalqqa butun imkonyatlar ochib qo'yildi. Bunda aytilgandek yaxshi tomonlar albatta ko'p bo'ldi. Lekin biz bu tarmoq ichidagi tarbiyasi buzuqlar ta'limiga, turli yomon maqsaddagi odamlar gaplariga tayyor emas edik. Masalan yaqinda xalqimiz ko'd telefoningizga boradi, hizmat jihatdan tekshirib olishim kerak deyilsa berib yuborardi... Aynan shu ishonuvchanlik ortidan xalqdan millardlab o'g'irlashyabdi.
Yechim.
Biz firibgar saytlarni yopganimiz bilan yana qayta oshich, undanda kuchliroq qilib ochish muammo emas va saytlarni yopish to'g'ri yo'l emas. Xalqni kiber jinoyatlarga qarshi tura oladigan qilish eng samarali yo'l...
P.S. Bu bo'yicha albatta davlat ishlayabdi! Ta'lim vazirliklariga berilgan taklif bo'yicha hozir akademiya shu hatoni to'g'rilashi mumkin in shaa Alloh.
π₯11π7π1
AppSec Guy
Hindiston, Pokiston, Azarbayjon top xakkerlari bilan Pentester Acaedemy'da suhbatlar o'tkazishga nima deysizlar?
Assalomu alaykum. Suhbatda qatnashishi kerak bo'lgan asosiy ikki kishi rozi bo'lishdi. Birinchi mehmon Pokistonlik kiber xavfsizlik hodimi Fahad Abdulloh bo'ladi. Ikkinchi mehmon esa Hindistonlik Manoj Kumar HackerBro kiber xavfsizlik tashkiloti egasi.
Fahad Abdulloh bilan birga ishlaganimizda yarim soatga qolmasdan tizim ichiga kirishga ulguradigan tajribaga ega hodim edi. Manuj Kumar esa ancha yosh lekin shu sohada men ko'rgan eng zo'rlaridan. Ko'plab (zeroday) exploit'lar yozgan. U qurgan tizimlarni kunlab boshini ushlab buzolmay o'tirganlar bor) Demak suhbat faqat Application Security sohasi bo'yicha bo'ladi. Xavfsiz websayt tuzishni istaydigan dasturchilar uchun ham ajoyib suhbat bo'ladi in shaa Alloh. Hammasi tayyor, yana bir-ikki kishini taklif qilamiz. Endi tashkillashtira olsak bo'ldi...
Fahad Abdulloh bilan birga ishlaganimizda yarim soatga qolmasdan tizim ichiga kirishga ulguradigan tajribaga ega hodim edi. Manuj Kumar esa ancha yosh lekin shu sohada men ko'rgan eng zo'rlaridan. Ko'plab (zeroday) exploit'lar yozgan. U qurgan tizimlarni kunlab boshini ushlab buzolmay o'tirganlar bor) Demak suhbat faqat Application Security sohasi bo'yicha bo'ladi. Xavfsiz websayt tuzishni istaydigan dasturchilar uchun ham ajoyib suhbat bo'ladi in shaa Alloh. Hammasi tayyor, yana bir-ikki kishini taklif qilamiz. Endi tashkillashtira olsak bo'ldi...
π₯26π12
#Data_breach #Twitter #hacked
Data breachπ₯
Darkweb forumda bir xakker 400 milion twitter foydalanuvchisi ma'lumotlarini sotuvga qo'ydi.
Bunaqa katta ma'lumot o'g'irlanishi tarixda kamdan-kam kuzatiladi. Ba'zilar tahminiga ko'ra bu o'tgan avgust oyidagi 5 milion foydalanuvchilar ma'lumotlari sotlishi bilan bog'liq.
Xakker Ilon Maskdan ma'lumotlarni sotmasligi uchun $256 milion talab qilgan. Aks xolda bu omaviy kiber jinoyatlarga olib keladi... Xakker isbot sifatida 1000ta foydalanuvchi ma'lumotlarini taqdim qilgan.
@pentester_academy_uz
Data breachπ₯
Darkweb forumda bir xakker 400 milion twitter foydalanuvchisi ma'lumotlarini sotuvga qo'ydi.
Bunaqa katta ma'lumot o'g'irlanishi tarixda kamdan-kam kuzatiladi. Ba'zilar tahminiga ko'ra bu o'tgan avgust oyidagi 5 milion foydalanuvchilar ma'lumotlari sotlishi bilan bog'liq.
Xakker Ilon Maskdan ma'lumotlarni sotmasligi uchun $256 milion talab qilgan. Aks xolda bu omaviy kiber jinoyatlarga olib keladi... Xakker isbot sifatida 1000ta foydalanuvchi ma'lumotlarini taqdim qilgan.
@pentester_academy_uz
π16π₯6π5
Forwarded from AppSec Guy
Ozgina fikrlasak miyyamiz portlab ketmaydi.
Bugun 28-dekabr ekan, yangi yil boshlanishiga 3 kun qolibdi.
Ha muammo yana o'sha, yangi yil bayrami haqida. Hozircha dindan og'iz ochmayman, dunyoviy tomondan gaplashamiz.
O'sha hamma havas qiladigan Yevropa, ular bizni eng katta bayramlarimiz Navro'z yoki Hayit bayramlarini shunaqa biz Yangi yil bayramini nishonlaganchalik nishonlashadimi? O'zi bu bayramlar haqida biladimi ular? Taqlid, taqlid va yana taqlid. Yoshlarni buzuqlikdan qaytarib yana o'zi o'sha buzuqlikni targ'ib qiladiganlarga taqlid qiladi bu xalqimiz kattalari. Aqlli, farzandini tarbiyasiga e'tiborli odam uchun shu gap yetarli.
Tushunmayotganlar uchun bu mavzuga chuqurroq kiramiz. Sizni farzandingizga LGBTni to'g'ri yo'l deb o'rgatmoqchi bo'lganlarga taqlid qilib farzandlaringiz oldida ularga taqlid qilish kerak bu yaxshi deyabsiz. Men Osiyoni Yevropa bilan qarshi qilib qo'ymoqchi emasman, Yadro qurollar sinovi, Neft uchun yolg'ondan urush chiqarish, fitnalarga sabab bo'lish bilan Yevropa bu ishni mendan oldin qoyillatib boshlab qo'ygan.
Tangani ikki tomoni bor, hozir faqat yomon tomonini ko'ryabman to'g'rimi? Davom ettiraman. Isrofgarchiliklar haqida gaplashsak, o'tgan yili postda yangi yil kuni uchirilgan mushaklarga hitob qilib "Bugun qanchadan-qancha yetimlarni haqqi osmonga uchdi", - deb yozishgandi. Yana "Hafa bo'lma birodarim, senga faqirlikdan panoh so'rab milliard so'mlik masjidda duo qilyabmiz" degan hitoblar ham bor.
Maslahatim, ha nishonlang. Faqat archasiz, yangi yil haqida eslamasdan, oddiy lekin barakali dasturxon va o'tgan yillaringiz uchun Allohga shukr qilib o'takazing.
Aynan o'sha Yevropaga taqlid qilib bayramni nishonlayotganlar , ertasiga shahodat kalimasini takrorlab olsin. Sababi boshqa dinga taqlid qilgan dindan chiqadi Alloh bilguvchiroq.
Bugun 28-dekabr ekan, yangi yil boshlanishiga 3 kun qolibdi.
Ha muammo yana o'sha, yangi yil bayrami haqida. Hozircha dindan og'iz ochmayman, dunyoviy tomondan gaplashamiz.
O'sha hamma havas qiladigan Yevropa, ular bizni eng katta bayramlarimiz Navro'z yoki Hayit bayramlarini shunaqa biz Yangi yil bayramini nishonlaganchalik nishonlashadimi? O'zi bu bayramlar haqida biladimi ular? Taqlid, taqlid va yana taqlid. Yoshlarni buzuqlikdan qaytarib yana o'zi o'sha buzuqlikni targ'ib qiladiganlarga taqlid qiladi bu xalqimiz kattalari. Aqlli, farzandini tarbiyasiga e'tiborli odam uchun shu gap yetarli.
Tushunmayotganlar uchun bu mavzuga chuqurroq kiramiz. Sizni farzandingizga LGBTni to'g'ri yo'l deb o'rgatmoqchi bo'lganlarga taqlid qilib farzandlaringiz oldida ularga taqlid qilish kerak bu yaxshi deyabsiz. Men Osiyoni Yevropa bilan qarshi qilib qo'ymoqchi emasman, Yadro qurollar sinovi, Neft uchun yolg'ondan urush chiqarish, fitnalarga sabab bo'lish bilan Yevropa bu ishni mendan oldin qoyillatib boshlab qo'ygan.
Tangani ikki tomoni bor, hozir faqat yomon tomonini ko'ryabman to'g'rimi? Davom ettiraman. Isrofgarchiliklar haqida gaplashsak, o'tgan yili postda yangi yil kuni uchirilgan mushaklarga hitob qilib "Bugun qanchadan-qancha yetimlarni haqqi osmonga uchdi", - deb yozishgandi. Yana "Hafa bo'lma birodarim, senga faqirlikdan panoh so'rab milliard so'mlik masjidda duo qilyabmiz" degan hitoblar ham bor.
Maslahatim, ha nishonlang. Faqat archasiz, yangi yil haqida eslamasdan, oddiy lekin barakali dasturxon va o'tgan yillaringiz uchun Allohga shukr qilib o'takazing.
Aynan o'sha Yevropaga taqlid qilib bayramni nishonlayotganlar , ertasiga shahodat kalimasini takrorlab olsin. Sababi boshqa dinga taqlid qilgan dindan chiqadi Alloh bilguvchiroq.
π₯25π17π’4π¨βπ»3π2
Pentest - tizimlarga huddi xakkerlardek buzib kirish, lekin zarar yetkazish o'rniga tizim egasiga habar berish.
Sizda online do'kon bormi? Balki xakker mahsulotlaringizni tekinga olayotgandur? Sizda hosting xizmati bormi? Xakkerlar tizim ichida "mining" qilib o'tirishsachi? Banklar haqida gapirmasak bo'ladi...
Jamoamiz bilan shu muammolar yechimini taklif qilamiz. Boshlanishiga katta chegirma bilan API , websaytlar, serverlar, Mobil dasturlar xavfsizligini tekshirib , ularni xavfsizligini ta'minlashga yordam beramiz.
Mutojaat uchun: @pentester_admin
Sizda online do'kon bormi? Balki xakker mahsulotlaringizni tekinga olayotgandur? Sizda hosting xizmati bormi? Xakkerlar tizim ichida "mining" qilib o'tirishsachi? Banklar haqida gapirmasak bo'ladi...
Jamoamiz bilan shu muammolar yechimini taklif qilamiz. Boshlanishiga katta chegirma bilan API , websaytlar, serverlar, Mobil dasturlar xavfsizligini tekshirib , ularni xavfsizligini ta'minlashga yordam beramiz.
Mutojaat uchun: @pentester_admin
π₯17π4β€1
Turan Security
Pentest - tizimlarga huddi xakkerlardek buzib kirish, lekin zarar yetkazish o'rniga tizim egasiga habar berish. Sizda online do'kon bormi? Balki xakker mahsulotlaringizni tekinga olayotgandur? Sizda hosting xizmati bormi? Xakkerlar tizim ichida "mining"β¦
Shunchaki O'zbekistonda hali hechkim API va Mobil dasturlar xavfsizligini tekshirib berishni tavsiya qilmagan...
+ Yaqinda cloud xavfsizligini ham tekshirib berishni boshlaymizβ
+ Yaqinda cloud xavfsizligini ham tekshirib berishni boshlaymizβ
π₯17π6π3
This media is not supported in your browser
VIEW IN TELEGRAM
1-Video | Tanishtiruv
Davomiyligi: 3:50
Hajmi: 10 mb
Pentest 101 video darsliklarini chiqarishni boshladik. Maqtamaymiz, baho berish sizlardan. π₯
Murojaat uchun: @pentester_admin
Davomiyligi: 3:50
Hajmi: 10 mb
Pentest 101 video darsliklarini chiqarishni boshladik. Maqtamaymiz, baho berish sizlardan. π₯
Murojaat uchun: @pentester_admin
π₯134π33π¨βπ»6π4π2
Yangilanish vaqti keldiπ₯π₯
PEH 101
Yangi mundarija - yangicha darslarπ₯
1 Networking π₯
2 Linux Administrationπ₯
3 Bash scriptingπ₯
4 Python 101π₯
5 Information Gathering π₯
6 WAPT π₯
7 OSINTπ₯
8 Windows privilage escalationπ₯
9 Linux privilage escalationπ₯
10 Wireless hacking π₯
β Bonus βΌοΈ
WAPT on rooted androidπ₯
Kurs davomiyligi 4 oy
Kurs qulayliklari :
24 soat support xizmati
Haftada 3 kun dars 1-2 soatdan
Tajribali o'qituvchi
Kurs yakunida bug bounty sohasiga roadmap ham beriladi
Aloqa : @pentester_admin
PEH 101
Yangi mundarija - yangicha darslarπ₯
1 Networking π₯
2 Linux Administrationπ₯
3 Bash scriptingπ₯
4 Python 101π₯
5 Information Gathering π₯
6 WAPT π₯
7 OSINTπ₯
8 Windows privilage escalationπ₯
9 Linux privilage escalationπ₯
10 Wireless hacking π₯
β Bonus βΌοΈ
WAPT on rooted androidπ₯
Kurs davomiyligi 4 oy
Kurs qulayliklari :
24 soat support xizmati
Haftada 3 kun dars 1-2 soatdan
Tajribali o'qituvchi
Kurs yakunida bug bounty sohasiga roadmap ham beriladi
Aloqa : @pentester_admin
π₯21π10
Biroz OSINTπ₯
Yaqin kunlarda "Subyektiv" Youtube kanali buzib kirilibdi, - degan habarlar tarqadi. Rostdan buzib kirildimi? Unda kim buzgan? Shularga aniqlik kiritamiz.
Rasmlarda ko'rishingiz mumkin. Subyektiv kanaliga progs.pro shu sayt havolasini tashlab ketishgan. Saytga yuklangan aslida pullik bo'lgan tekin dasturlarda virus borligi uchun kanalga buzib kirilgan deyishdi. Shuning uchun saytga dasturlar kim tomondan yuklanganligini aniqlashtirib ko'rdik. Sayt bizni shu github egasigacha boshlab keldi: https://github.com/imrana1996 .
Github hisobida aynan o'sha zararli virusga ega tekin dasturlar saqlanadi. Ha tushunib olishingiz mumkin, kanal rostdan buzib kirilgan va dasturlarda rostdan viruslar mavjud. Bunga izohlardagi norozi odamlardan bilib olishingiz mumkin, sababi bundan oldin ham bu viruslar boshqalarning hisobiga buzib kirish uchun ishlatilgan.
Shunday qilib katta ehtimol bilan sohta lekin biz topgan ma'lumotlarimiz: Virusli dastur egasi Hindistonlik Imron Muhammad va 1996-yilda tug'ilgan.
Endi biz topgan eng katta dalillardan biriga to'xtalamiz. Uning gmail hisobi :
[email protected]
@pentester_academy_uz | π₯
Yaqin kunlarda "Subyektiv" Youtube kanali buzib kirilibdi, - degan habarlar tarqadi. Rostdan buzib kirildimi? Unda kim buzgan? Shularga aniqlik kiritamiz.
Rasmlarda ko'rishingiz mumkin. Subyektiv kanaliga progs.pro shu sayt havolasini tashlab ketishgan. Saytga yuklangan aslida pullik bo'lgan tekin dasturlarda virus borligi uchun kanalga buzib kirilgan deyishdi. Shuning uchun saytga dasturlar kim tomondan yuklanganligini aniqlashtirib ko'rdik. Sayt bizni shu github egasigacha boshlab keldi: https://github.com/imrana1996 .
Github hisobida aynan o'sha zararli virusga ega tekin dasturlar saqlanadi. Ha tushunib olishingiz mumkin, kanal rostdan buzib kirilgan va dasturlarda rostdan viruslar mavjud. Bunga izohlardagi norozi odamlardan bilib olishingiz mumkin, sababi bundan oldin ham bu viruslar boshqalarning hisobiga buzib kirish uchun ishlatilgan.
Shunday qilib katta ehtimol bilan sohta lekin biz topgan ma'lumotlarimiz: Virusli dastur egasi Hindistonlik Imron Muhammad va 1996-yilda tug'ilgan.
Endi biz topgan eng katta dalillardan biriga to'xtalamiz. Uning gmail hisobi :
[email protected]
@pentester_academy_uz | π₯
π39π₯7π4π3π’1
Websaytlar qanday ishlaydi? #roadmapπ₯
Websaytlarni buza olaman deydigan Kiber Xavfsizlik hodimi websaytlarni ishlashini tushuna olmasa, u shunchaki unga ko'rsatilgan hujumni qaytarib ko'rsatib bera oladi halos.
Websaytlar xavfsizligini tekshirib beradigan hodim(pentester) uchun yo'l xaritasi:
1) Tarmoq. (HTTP protokol, OSI model, Serverlar...)
2) Dasturlash. (HTML/CSS/JS)
3) Linux boshqaruvi. (Buyruqlar,fayl tizimi,huquqlar,loglarni boshqarish...)
4) Skript yozish(Bash,python)
5) OWASP 10 talik zaifliklar ro'yhati. Qo'shimcha zaifliklar.
P.O.V. O'zilani bosvolila bu boshlang'ich daraja uchun ediπ
@pentester_academy_uz | #roadmap
Websaytlarni buza olaman deydigan Kiber Xavfsizlik hodimi websaytlarni ishlashini tushuna olmasa, u shunchaki unga ko'rsatilgan hujumni qaytarib ko'rsatib bera oladi halos.
Websaytlar xavfsizligini tekshirib beradigan hodim(pentester) uchun yo'l xaritasi:
1) Tarmoq. (HTTP protokol, OSI model, Serverlar...)
2) Dasturlash. (HTML/CSS/JS)
3) Linux boshqaruvi. (Buyruqlar,fayl tizimi,huquqlar,loglarni boshqarish...)
4) Skript yozish(Bash,python)
5) OWASP 10 talik zaifliklar ro'yhati. Qo'shimcha zaifliklar.
P.O.V. O'zilani bosvolila bu boshlang'ich daraja uchun ediπ
@pentester_academy_uz | #roadmap
π33π11π₯2β€1
Turan Security
Assalomu alaykum. Suhbatda qatnashishi kerak bo'lgan asosiy ikki kishi rozi bo'lishdi. Birinchi mehmon Pokistonlik kiber xavfsizlik hodimi Fahad Abdulloh bo'ladi. Ikkinchi mehmon esa Hindistonlik Manoj Kumar HackerBro kiber xavfsizlik tashkiloti egasi. Fahadβ¦
Ozgina qoldiπ₯ #ovozli_chat #suhbat
Suhbatni Yanvar oyiga rejalashtirgandik, endi boshasak bo'ladi. Akademiya xalqi yarmi yangi qo'shilganligi uchun ularga sovg'alari haqida eslatib qo'ymoqchimiz.
Online suhbatπ₯
Mavzu: Dasturlar xavfsizligi. Hozirgi kunda topilyotgan muhim zaifliklar.
Sana: (Yanvar ohiriga qo'yishga majburmiz, auditoriyani kattaroq qilib olishimiz kerak)
Speakerlar: Fahad Abdulloh, Manuj Kumar. Batafsil shu yerda o'qishingiz mumkin.
Suhbat xavfsiz tizim tuzishni istaydigan dasturchilar va o'zimiznikilar uchunπ₯ Suhbat uchun shu sohaning haqiqiy mutahasislari, o'z davlatlariga top xakkerlar chaqirilgan.
@pentester_academy
Suhbatni Yanvar oyiga rejalashtirgandik, endi boshasak bo'ladi. Akademiya xalqi yarmi yangi qo'shilganligi uchun ularga sovg'alari haqida eslatib qo'ymoqchimiz.
Online suhbatπ₯
Mavzu: Dasturlar xavfsizligi. Hozirgi kunda topilyotgan muhim zaifliklar.
Sana: (Yanvar ohiriga qo'yishga majburmiz, auditoriyani kattaroq qilib olishimiz kerak)
Speakerlar: Fahad Abdulloh, Manuj Kumar. Batafsil shu yerda o'qishingiz mumkin.
Suhbat xavfsiz tizim tuzishni istaydigan dasturchilar va o'zimiznikilar uchunπ₯ Suhbat uchun shu sohaning haqiqiy mutahasislari, o'z davlatlariga top xakkerlar chaqirilgan.
@pentester_academy
π15π11π¨βπ»6π₯4π3
Forwarded from AppSec Guy
OWASP 10 talik zaifliklar ro'yhati
Birinchi OWASP nimaligi haqida gaplashamiz. OWASP - open web application security project, ya'ni bu loyixada dasturchilar bir necha yil davomida aytaylik 1000ta websaytni ro'yhatga olib , o'sha websaytlarda eng ko'p topilgan 10ta zaifliklar guruhini ro'yhat qilib tuzib chiqishadi. Keyingi yildan bo'lsa shu eng ko'p topilgan zaifliklar ro'yhatiga e'tibor qaratib aynan shu zaifliklarni yopishga harakat qilishadi.
Demak bu loyixa kiber xavfsizlik hodimlariniki emas, dasturchilarniki. Ha bu loyixa xavfsizlikni ta'minlash uchun lekin dasturchilar qiladi u ishni asosini. Bunga Application security engineer'lar yordam beradi.
Kiber xavfsizlik hodimi yo'l qo'yadigan asosiy xatolardan biri , web dasturni aynan shu ro'yhat bo'yicha tekshirish. Sababi yuqorida aytilgandek dasturchi shu ro'yhat bo'yicha xavfsizlik ta'minlasa, biz nega u yopayotgan tomondan teshik qidirishimiz kerak?
Unda nima qilaylik? OWASP eskirgan narsa desam ustozlarimiz hafa bo'ladi) Web2, web3 ya'ni web dasturlar tuzulishiga ko'ra turlari chiqqanligi uchun, ularda xar hil zaifliklar topiladi. Sayt turiga qarab zaifliklar bo'yicha tekshirish eng yaxshi usul. O'zingizda shaxsiy checklist bo'lishi shart albatta.
@oddiy_lnson
Birinchi OWASP nimaligi haqida gaplashamiz. OWASP - open web application security project, ya'ni bu loyixada dasturchilar bir necha yil davomida aytaylik 1000ta websaytni ro'yhatga olib , o'sha websaytlarda eng ko'p topilgan 10ta zaifliklar guruhini ro'yhat qilib tuzib chiqishadi. Keyingi yildan bo'lsa shu eng ko'p topilgan zaifliklar ro'yhatiga e'tibor qaratib aynan shu zaifliklarni yopishga harakat qilishadi.
Demak bu loyixa kiber xavfsizlik hodimlariniki emas, dasturchilarniki. Ha bu loyixa xavfsizlikni ta'minlash uchun lekin dasturchilar qiladi u ishni asosini. Bunga Application security engineer'lar yordam beradi.
Kiber xavfsizlik hodimi yo'l qo'yadigan asosiy xatolardan biri , web dasturni aynan shu ro'yhat bo'yicha tekshirish. Sababi yuqorida aytilgandek dasturchi shu ro'yhat bo'yicha xavfsizlik ta'minlasa, biz nega u yopayotgan tomondan teshik qidirishimiz kerak?
Unda nima qilaylik? OWASP eskirgan narsa desam ustozlarimiz hafa bo'ladi) Web2, web3 ya'ni web dasturlar tuzulishiga ko'ra turlari chiqqanligi uchun, ularda xar hil zaifliklar topiladi. Sayt turiga qarab zaifliklar bo'yicha tekshirish eng yaxshi usul. O'zingizda shaxsiy checklist bo'lishi shart albatta.
@oddiy_lnson
π₯13π10π¨βπ»2
Mobil dasturlarga buzib kirish va ularni xavfsizligni ta'minlash bo'yicha #roadmapπ₯
Roadmap:
1) Boshlang'ich Kiber xavfsizlik bilimlari(Linux,Tarmoq,Web/API xavfsizligi,BurpSuite etc.);
2) Android ichki tuzilishi(Xavfsizlik arxitekturasi, rasmdagidek ichki qismlar,zamonaviy ARlar,deeplink);
3) Mobil dasturlar xavfsizligi uchun kerakli dasturlar(BurpSuite,ADB tool,JADX...)
Android dasturlar static/dynamic xavfsizligi tekshiriladi. Shuning uchun buni dynamic qismida web dasturlar xavfsizligi ham qo'shilib ketadi.
4) DIVA android(Buzib kirishni o'rganish uchun tayyor teshiklar qoldirilgan android dastur, huddi DVWA kabi).
5) OWASP 10talik mobil dastur zaifliklar ro'yhati.
OWASP yuqoridagi postda kerakmas , eskirgan dedik. Ha shunday lekin sizga hechkim mobil dastur xavfsizligi zaifliklarini o'tirib tuzib bermaydi, shu ro'yhatdan o'rganishingiz mumkin, va hatto buzish ham. Yuqoridagi post web uchun edi. IOS haqida keyinroq chiqariladi!
Bu qiyin soha, birinchi WAPTdan boshlash kerak.
@pentester_academy_uz
Roadmap:
1) Boshlang'ich Kiber xavfsizlik bilimlari(Linux,Tarmoq,Web/API xavfsizligi,BurpSuite etc.);
2) Android ichki tuzilishi(Xavfsizlik arxitekturasi, rasmdagidek ichki qismlar,zamonaviy ARlar,deeplink);
3) Mobil dasturlar xavfsizligi uchun kerakli dasturlar(BurpSuite,ADB tool,JADX...)
Android dasturlar static/dynamic xavfsizligi tekshiriladi. Shuning uchun buni dynamic qismida web dasturlar xavfsizligi ham qo'shilib ketadi.
4) DIVA android(Buzib kirishni o'rganish uchun tayyor teshiklar qoldirilgan android dastur, huddi DVWA kabi).
5) OWASP 10talik mobil dastur zaifliklar ro'yhati.
OWASP yuqoridagi postda kerakmas , eskirgan dedik. Ha shunday lekin sizga hechkim mobil dastur xavfsizligi zaifliklarini o'tirib tuzib bermaydi, shu ro'yhatdan o'rganishingiz mumkin, va hatto buzish ham. Yuqoridagi post web uchun edi. IOS haqida keyinroq chiqariladi!
Bu qiyin soha, birinchi WAPTdan boshlash kerak.
@pentester_academy_uz
π₯22π12π¨βπ»5β€1
Marketingπ₯ #Kayfiyat
Pentester Academy sizlarga hechqayerda yo'q reklama xizmatini taklif qiladi!
Siz o'z biznesingizni rivojlantirmoqchi bo'lgan tadbirkormisiz? Unda to'g'ri kelibsiz) Biz sizga hechqaysi reklama agentligi berolmaydigan xizmatni taklif qilamiz!!
Reklamaningizni dtm.uz , president.uz , kun.uz kabi yirik foydalanuvchiga ega saytlarga ikkilanmasdan katta qilib qo'yib beramiz!
@pentester_academy_uz
Pentester Academy sizlarga hechqayerda yo'q reklama xizmatini taklif qiladi!
Siz o'z biznesingizni rivojlantirmoqchi bo'lgan tadbirkormisiz? Unda to'g'ri kelibsiz) Biz sizga hechqaysi reklama agentligi berolmaydigan xizmatni taklif qilamiz!!
@pentester_academy_uz
π63π10π€4π₯3
Burp suite dasturini kim qanchalik biladi?
Anonymous Poll
73%
Nima u?
15%
O'rtacha
5%
Har bitta tabni bemalol boshqarishni bilaman
7%
Burp suiteni o'zim ishlab chiqqanmanku!
π2
Shogirdlarimizdan biri Alibaba kampaniyasida istalgan akkauntni buzib kirish yo'lini topibdiπ₯
Shunchaki habar yuborasiz va nishon ko'rishi bilan akkaunt sizniki...)) Tabriklaymiz!
Severity: High/$$$$
@pentester_academy_uz
Shunchaki habar yuborasiz va nishon ko'rishi bilan akkaunt sizniki...)) Tabriklaymiz!
Severity: High/$$$$
@pentester_academy_uz
π₯37π10β€2