Websaytlar qanday ishlaydi? #roadmapπ₯
Websaytlarni buza olaman deydigan Kiber Xavfsizlik hodimi websaytlarni ishlashini tushuna olmasa, u shunchaki unga ko'rsatilgan hujumni qaytarib ko'rsatib bera oladi halos.
Websaytlar xavfsizligini tekshirib beradigan hodim(pentester) uchun yo'l xaritasi:
1) Tarmoq. (HTTP protokol, OSI model, Serverlar...)
2) Dasturlash. (HTML/CSS/JS)
3) Linux boshqaruvi. (Buyruqlar,fayl tizimi,huquqlar,loglarni boshqarish...)
4) Skript yozish(Bash,python)
5) OWASP 10 talik zaifliklar ro'yhati. Qo'shimcha zaifliklar.
P.O.V. O'zilani bosvolila bu boshlang'ich daraja uchun ediπ
@pentester_academy_uz | #roadmap
Websaytlarni buza olaman deydigan Kiber Xavfsizlik hodimi websaytlarni ishlashini tushuna olmasa, u shunchaki unga ko'rsatilgan hujumni qaytarib ko'rsatib bera oladi halos.
Websaytlar xavfsizligini tekshirib beradigan hodim(pentester) uchun yo'l xaritasi:
1) Tarmoq. (HTTP protokol, OSI model, Serverlar...)
2) Dasturlash. (HTML/CSS/JS)
3) Linux boshqaruvi. (Buyruqlar,fayl tizimi,huquqlar,loglarni boshqarish...)
4) Skript yozish(Bash,python)
5) OWASP 10 talik zaifliklar ro'yhati. Qo'shimcha zaifliklar.
P.O.V. O'zilani bosvolila bu boshlang'ich daraja uchun ediπ
@pentester_academy_uz | #roadmap
π33π11π₯2β€1
Turan Security
Assalomu alaykum. Suhbatda qatnashishi kerak bo'lgan asosiy ikki kishi rozi bo'lishdi. Birinchi mehmon Pokistonlik kiber xavfsizlik hodimi Fahad Abdulloh bo'ladi. Ikkinchi mehmon esa Hindistonlik Manoj Kumar HackerBro kiber xavfsizlik tashkiloti egasi. Fahadβ¦
Ozgina qoldiπ₯ #ovozli_chat #suhbat
Suhbatni Yanvar oyiga rejalashtirgandik, endi boshasak bo'ladi. Akademiya xalqi yarmi yangi qo'shilganligi uchun ularga sovg'alari haqida eslatib qo'ymoqchimiz.
Online suhbatπ₯
Mavzu: Dasturlar xavfsizligi. Hozirgi kunda topilyotgan muhim zaifliklar.
Sana: (Yanvar ohiriga qo'yishga majburmiz, auditoriyani kattaroq qilib olishimiz kerak)
Speakerlar: Fahad Abdulloh, Manuj Kumar. Batafsil shu yerda o'qishingiz mumkin.
Suhbat xavfsiz tizim tuzishni istaydigan dasturchilar va o'zimiznikilar uchunπ₯ Suhbat uchun shu sohaning haqiqiy mutahasislari, o'z davlatlariga top xakkerlar chaqirilgan.
@pentester_academy
Suhbatni Yanvar oyiga rejalashtirgandik, endi boshasak bo'ladi. Akademiya xalqi yarmi yangi qo'shilganligi uchun ularga sovg'alari haqida eslatib qo'ymoqchimiz.
Online suhbatπ₯
Mavzu: Dasturlar xavfsizligi. Hozirgi kunda topilyotgan muhim zaifliklar.
Sana: (Yanvar ohiriga qo'yishga majburmiz, auditoriyani kattaroq qilib olishimiz kerak)
Speakerlar: Fahad Abdulloh, Manuj Kumar. Batafsil shu yerda o'qishingiz mumkin.
Suhbat xavfsiz tizim tuzishni istaydigan dasturchilar va o'zimiznikilar uchunπ₯ Suhbat uchun shu sohaning haqiqiy mutahasislari, o'z davlatlariga top xakkerlar chaqirilgan.
@pentester_academy
π15π11π¨βπ»6π₯4π3
Forwarded from AppSec Guy
OWASP 10 talik zaifliklar ro'yhati
Birinchi OWASP nimaligi haqida gaplashamiz. OWASP - open web application security project, ya'ni bu loyixada dasturchilar bir necha yil davomida aytaylik 1000ta websaytni ro'yhatga olib , o'sha websaytlarda eng ko'p topilgan 10ta zaifliklar guruhini ro'yhat qilib tuzib chiqishadi. Keyingi yildan bo'lsa shu eng ko'p topilgan zaifliklar ro'yhatiga e'tibor qaratib aynan shu zaifliklarni yopishga harakat qilishadi.
Demak bu loyixa kiber xavfsizlik hodimlariniki emas, dasturchilarniki. Ha bu loyixa xavfsizlikni ta'minlash uchun lekin dasturchilar qiladi u ishni asosini. Bunga Application security engineer'lar yordam beradi.
Kiber xavfsizlik hodimi yo'l qo'yadigan asosiy xatolardan biri , web dasturni aynan shu ro'yhat bo'yicha tekshirish. Sababi yuqorida aytilgandek dasturchi shu ro'yhat bo'yicha xavfsizlik ta'minlasa, biz nega u yopayotgan tomondan teshik qidirishimiz kerak?
Unda nima qilaylik? OWASP eskirgan narsa desam ustozlarimiz hafa bo'ladi) Web2, web3 ya'ni web dasturlar tuzulishiga ko'ra turlari chiqqanligi uchun, ularda xar hil zaifliklar topiladi. Sayt turiga qarab zaifliklar bo'yicha tekshirish eng yaxshi usul. O'zingizda shaxsiy checklist bo'lishi shart albatta.
@oddiy_lnson
Birinchi OWASP nimaligi haqida gaplashamiz. OWASP - open web application security project, ya'ni bu loyixada dasturchilar bir necha yil davomida aytaylik 1000ta websaytni ro'yhatga olib , o'sha websaytlarda eng ko'p topilgan 10ta zaifliklar guruhini ro'yhat qilib tuzib chiqishadi. Keyingi yildan bo'lsa shu eng ko'p topilgan zaifliklar ro'yhatiga e'tibor qaratib aynan shu zaifliklarni yopishga harakat qilishadi.
Demak bu loyixa kiber xavfsizlik hodimlariniki emas, dasturchilarniki. Ha bu loyixa xavfsizlikni ta'minlash uchun lekin dasturchilar qiladi u ishni asosini. Bunga Application security engineer'lar yordam beradi.
Kiber xavfsizlik hodimi yo'l qo'yadigan asosiy xatolardan biri , web dasturni aynan shu ro'yhat bo'yicha tekshirish. Sababi yuqorida aytilgandek dasturchi shu ro'yhat bo'yicha xavfsizlik ta'minlasa, biz nega u yopayotgan tomondan teshik qidirishimiz kerak?
Unda nima qilaylik? OWASP eskirgan narsa desam ustozlarimiz hafa bo'ladi) Web2, web3 ya'ni web dasturlar tuzulishiga ko'ra turlari chiqqanligi uchun, ularda xar hil zaifliklar topiladi. Sayt turiga qarab zaifliklar bo'yicha tekshirish eng yaxshi usul. O'zingizda shaxsiy checklist bo'lishi shart albatta.
@oddiy_lnson
π₯13π10π¨βπ»2
Mobil dasturlarga buzib kirish va ularni xavfsizligni ta'minlash bo'yicha #roadmapπ₯
Roadmap:
1) Boshlang'ich Kiber xavfsizlik bilimlari(Linux,Tarmoq,Web/API xavfsizligi,BurpSuite etc.);
2) Android ichki tuzilishi(Xavfsizlik arxitekturasi, rasmdagidek ichki qismlar,zamonaviy ARlar,deeplink);
3) Mobil dasturlar xavfsizligi uchun kerakli dasturlar(BurpSuite,ADB tool,JADX...)
Android dasturlar static/dynamic xavfsizligi tekshiriladi. Shuning uchun buni dynamic qismida web dasturlar xavfsizligi ham qo'shilib ketadi.
4) DIVA android(Buzib kirishni o'rganish uchun tayyor teshiklar qoldirilgan android dastur, huddi DVWA kabi).
5) OWASP 10talik mobil dastur zaifliklar ro'yhati.
OWASP yuqoridagi postda kerakmas , eskirgan dedik. Ha shunday lekin sizga hechkim mobil dastur xavfsizligi zaifliklarini o'tirib tuzib bermaydi, shu ro'yhatdan o'rganishingiz mumkin, va hatto buzish ham. Yuqoridagi post web uchun edi. IOS haqida keyinroq chiqariladi!
Bu qiyin soha, birinchi WAPTdan boshlash kerak.
@pentester_academy_uz
Roadmap:
1) Boshlang'ich Kiber xavfsizlik bilimlari(Linux,Tarmoq,Web/API xavfsizligi,BurpSuite etc.);
2) Android ichki tuzilishi(Xavfsizlik arxitekturasi, rasmdagidek ichki qismlar,zamonaviy ARlar,deeplink);
3) Mobil dasturlar xavfsizligi uchun kerakli dasturlar(BurpSuite,ADB tool,JADX...)
Android dasturlar static/dynamic xavfsizligi tekshiriladi. Shuning uchun buni dynamic qismida web dasturlar xavfsizligi ham qo'shilib ketadi.
4) DIVA android(Buzib kirishni o'rganish uchun tayyor teshiklar qoldirilgan android dastur, huddi DVWA kabi).
5) OWASP 10talik mobil dastur zaifliklar ro'yhati.
OWASP yuqoridagi postda kerakmas , eskirgan dedik. Ha shunday lekin sizga hechkim mobil dastur xavfsizligi zaifliklarini o'tirib tuzib bermaydi, shu ro'yhatdan o'rganishingiz mumkin, va hatto buzish ham. Yuqoridagi post web uchun edi. IOS haqida keyinroq chiqariladi!
Bu qiyin soha, birinchi WAPTdan boshlash kerak.
@pentester_academy_uz
π₯22π12π¨βπ»5β€1
Marketingπ₯ #Kayfiyat
Pentester Academy sizlarga hechqayerda yo'q reklama xizmatini taklif qiladi!
Siz o'z biznesingizni rivojlantirmoqchi bo'lgan tadbirkormisiz? Unda to'g'ri kelibsiz) Biz sizga hechqaysi reklama agentligi berolmaydigan xizmatni taklif qilamiz!!
Reklamaningizni dtm.uz , president.uz , kun.uz kabi yirik foydalanuvchiga ega saytlarga ikkilanmasdan katta qilib qo'yib beramiz!
@pentester_academy_uz
Pentester Academy sizlarga hechqayerda yo'q reklama xizmatini taklif qiladi!
Siz o'z biznesingizni rivojlantirmoqchi bo'lgan tadbirkormisiz? Unda to'g'ri kelibsiz) Biz sizga hechqaysi reklama agentligi berolmaydigan xizmatni taklif qilamiz!!
@pentester_academy_uz
π63π10π€4π₯3
Burp suite dasturini kim qanchalik biladi?
Anonymous Poll
73%
Nima u?
15%
O'rtacha
5%
Har bitta tabni bemalol boshqarishni bilaman
7%
Burp suiteni o'zim ishlab chiqqanmanku!
π2
Shogirdlarimizdan biri Alibaba kampaniyasida istalgan akkauntni buzib kirish yo'lini topibdiπ₯
Shunchaki habar yuborasiz va nishon ko'rishi bilan akkaunt sizniki...)) Tabriklaymiz!
Severity: High/$$$$
@pentester_academy_uz
Shunchaki habar yuborasiz va nishon ko'rishi bilan akkaunt sizniki...)) Tabriklaymiz!
Severity: High/$$$$
@pentester_academy_uz
π₯37π10β€2
XSS.report π₯
XSS hunter platformasi yaqinda yopilishi hisobiga Kiber Xavfsizlik hodimlari uchun yangi platforma ishlab chiqishibdi. Xa bu platforma ham Blind XSS zaifligini aniqlash uchun ishlatiladi..
- Payloadlar bilan o'zi ta'minlaydi;
- Email orqali, yoki hatto telegram orqali agar zaiflik aniqlansa sizga habar beradi!;
- Hisobotda judayam ko'p qo'shimcha ma'lumotlar ko'rishingiz mumkin!;
Eng yoqqanizaiflik aniqlansa sizga telegram bot orqali habar yuborarkan))
Mushuk tekinga oftobga chiqmaydi, agar siz BugHunter bo'lsangiz hisobot qabul qilishingiz bilan uni berib yuboring, bo'lmasa platforma egasi chopib ketadiπͺ
@pentester_academy_uz
XSS hunter platformasi yaqinda yopilishi hisobiga Kiber Xavfsizlik hodimlari uchun yangi platforma ishlab chiqishibdi. Xa bu platforma ham Blind XSS zaifligini aniqlash uchun ishlatiladi..
- Payloadlar bilan o'zi ta'minlaydi;
- Email orqali, yoki hatto telegram orqali agar zaiflik aniqlansa sizga habar beradi!;
- Hisobotda judayam ko'p qo'shimcha ma'lumotlar ko'rishingiz mumkin!;
Eng yoqqani
Mushuk tekinga oftobga chiqmaydi, agar siz BugHunter bo'lsangiz hisobot qabul qilishingiz bilan uni berib yuboring, bo'lmasa platforma egasi chopib ketadiπͺ
@pentester_academy_uz
π₯9π5π4π2
Forwarded from OSINT #Ops
Biz tayorlanyabmiz! Siz tayyormisiz?
Bu OSINT 101 kursining bir qismi va har bir "Folder" ichida bir qancha Video va Pdf darsliklar mavjud)
Yangi O'zbekiston - Yangilangan "Pentester academy" bilan!
@Pentester_CEO | S4ID
Bu OSINT 101 kursining bir qismi va har bir "Folder" ichida bir qancha Video va Pdf darsliklar mavjud)
Yangi O'zbekiston - Yangilangan "Pentester academy" bilan!
@Pentester_CEO | S4ID
π₯27π9π¨βπ»3π1
#natija
Maqtanish vaqti kelmadimikin?
PEH - Practical Ethical Hacking
Kursimiz o'quvchilaridan biri amaliyotga ishga kiribdilar :),
Kursga qo'shilgan vaqtlari 5-dekabr
Kursni bitirish vaqtlari 5-may
Va 2-oy kursdan keyingi amaliyotlari bor
Albatta kursdan keyin yanada yaxshi natijalarga erishishlariga ishonamiz :),
O'quvchimizni Akademiyamiz A'zolari tabriklaydi.
Biz sizlar bilan faxrlanamiz!
@pentester_academy_uz | Securityπ₯
Maqtanish vaqti kelmadimikin?
PEH - Practical Ethical Hacking
Kursimiz o'quvchilaridan biri amaliyotga ishga kiribdilar :),
Kursga qo'shilgan vaqtlari 5-dekabr
Kursni bitirish vaqtlari 5-may
Va 2-oy kursdan keyingi amaliyotlari bor
Albatta kursdan keyin yanada yaxshi natijalarga erishishlariga ishonamiz :),
O'quvchimizni Akademiyamiz A'zolari tabriklaydi.
Biz sizlar bilan faxrlanamiz!
@pentester_academy_uz | Securityπ₯
π₯27π10π¨βπ»4π2
Turan Security
Shogirdlarimizdan biri Alibaba kampaniyasida istalgan akkauntni buzib kirish yo'lini topibdiπ₯ Shunchaki habar yuborasiz va nishon ko'rishi bilan akkaunt sizniki...)) Tabriklaymiz! Severity: High/$$$$ @pentester_academy_uz
#Bug_Bounty #Alibaba
Shogird ustozdan o'tmasa shogird emasβπ₯
Bug bounty dastur - sizga yirik kampaniyalar o'zlarini tizimini buzib ko'rish taklifini beradi. Buzib kira olsangiz va ularga qanday buzib kirganingizni ko'rsata olsangiz sizni pul yoki boshqa narsalar bilan taqdirlashadi.
Bu hali hammasi emas, bizda NASA ham bor...
@pentester_academy_uz | Bug huntersπ₯
Shogird ustozdan o'tmasa shogird emasβπ₯
Bug bounty dastur - sizga yirik kampaniyalar o'zlarini tizimini buzib ko'rish taklifini beradi. Buzib kira olsangiz va ularga qanday buzib kirganingizni ko'rsata olsangiz sizni pul yoki boshqa narsalar bilan taqdirlashadi.
Bu hali hammasi emas, bizda NASA ham bor...
@pentester_academy_uz | Bug huntersπ₯
π28π₯9π6π€1π’1
Forwarded from OSINT #Ops
#Geoint_media
(Suratlarning joylashuvini va bir qancha suratda ko'ringan detallarga qarab tahlil qilish uchun) Ushbu turli xil tasvir xususiyatlarining barchasi voqea joyini, vaqtini va tavsifini aniqlashga yordam berish uchun foydalaniladi.
@Pentester_CEO | OSINT 101
(Suratlarning joylashuvini va bir qancha suratda ko'ringan detallarga qarab tahlil qilish uchun) Ushbu turli xil tasvir xususiyatlarining barchasi voqea joyini, vaqtini va tavsifini aniqlashga yordam berish uchun foydalaniladi.
@Pentester_CEO | OSINT 101
π8π2π€2
#Amaliyot #WAPT
Sen tengilar websayt buzyabdi, sen bo'lsa hali ham amerika raqam sotyabsan?π
Izoh: Sayt uchun har qanday hujumga ruhsat bor..
Ma'lumot o'rnida bu darslar uchun qabul yopiq, ko'p muammolar mavjud, hal qilinsa qayta ochiladi.
@pentester_academy_uz | Eng tajribali o'qituvchilarπ₯
Izoh: Sayt uchun har qanday hujumga ruhsat bor..
Ma'lumot o'rnida bu darslar uchun qabul yopiq, ko'p muammolar mavjud, hal qilinsa qayta ochiladi.
@pentester_academy_uz | Eng tajribali o'qituvchilarπ₯
π₯27π10π9
Forwarded from OSINT #Ops
Palantir Skykit - bu mustaqil razvedka to'plami bo'lib, u ikkita o'rnatilgan monitor, maxsus noutbuk, kvadrokopter dron, Trailcam Nano kamerasi va batareya paketlarini o'z ichiga oladi.
Kompleks razvedka ma'lumotlarini qayta ishlash, qarorlar qabul qilish va uzoq joylarda operatsiyalarni amalga oshirish imkoniyatini beradi. Shuningdek, u sizga vazifalarni belgilash va jang maydonining istalgan joyidan ma'lumotlarni tahlil qilish imkonini beradi.
Skykit o'zining xavfsiz sun'iy yo'ldosh aloqasiga ega. Siz 40 ta tijorat sun'iy yo'ldoshlaridan biriga ulanishingiz, turli AI modullari tomonidan to'plangan ma'lumotlarni tahlil qilishingiz va dushmanni kuzatishingiz mumkin. Majmua harbiy sunβiy yoβldoshlarga, jumladan, Pentagonga ham kira oladi.
P/s: urishdagi qurol o'q otmaydi ammo ancha narsani hal qila oladi) snaryatdan ko'ra ko'proq halokat yetkizadi
@Pentester_CEO
Kompleks razvedka ma'lumotlarini qayta ishlash, qarorlar qabul qilish va uzoq joylarda operatsiyalarni amalga oshirish imkoniyatini beradi. Shuningdek, u sizga vazifalarni belgilash va jang maydonining istalgan joyidan ma'lumotlarni tahlil qilish imkonini beradi.
Skykit o'zining xavfsiz sun'iy yo'ldosh aloqasiga ega. Siz 40 ta tijorat sun'iy yo'ldoshlaridan biriga ulanishingiz, turli AI modullari tomonidan to'plangan ma'lumotlarni tahlil qilishingiz va dushmanni kuzatishingiz mumkin. Majmua harbiy sunβiy yoβldoshlarga, jumladan, Pentagonga ham kira oladi.
P/s: urishdagi qurol o'q otmaydi ammo ancha narsani hal qila oladi) snaryatdan ko'ra ko'proq halokat yetkizadi
@Pentester_CEO
π₯22π9π5
#BurpSuite #Pentest
Allaqachon yangi kursni sizlar uchun "chopish" boshlanganπͺ
Vaqt ketyazmaymiz, to'liq chiqquncha bemalol kirib yozilgan darslarni ko'rib turishingiz mumkin...
Kurs Pentest sohasidagi eng asosiy dasturlardan biri Burp Suite haqida.
Havola: Burp Suite 101
Allaqachon yangi kursni sizlar uchun "chopish" boshlanganπͺ
Vaqt ketyazmaymiz, to'liq chiqquncha bemalol kirib yozilgan darslarni ko'rib turishingiz mumkin...
Kurs Pentest sohasidagi eng asosiy dasturlardan biri Burp Suite haqida.
Havola: Burp Suite 101
π₯64β€8π8π4π¨βπ»2