Лучшие инструменты для тестирования и поиска уязвимостей API
• Postman - Популярная среда разработки API для тестирования, документирования и мониторинга API.
• Firetail - Инструмент мониторинга API для обнаружения аномалий и изменений в трафике API.
• Karate Labs - Инструмент для автоматического тестирования API, который объединяет тесты API, моки и даже автоматизацию тестирования UI.
• Katalon - Платформа для автоматизации тестирования, поддерживающая API, веб- и мобильные приложения.
• APIClarity - Инструмент для визуализации API-трафика и выявления несоответствий в спецификациях API.
• APIsec - Автоматизированная платформа для тестирования безопасности API, предоставляющая непрерывную оценку уязвимостей.
• Apisecscan - Сервис для сканирования уязвимостей API, который предлагает тестирование безопасности и оценку рисков.
• Astra - Это платный автоматический сканер безопасности API, который можно использовать для проверки безопасности REST и GraphQL API. Он автоматически тестирует API на наличие различных типов уязвимостей и предоставляет подробные отчеты.
• Hoppscotch - Открытый источник, который помогает в тестировании и документировании API.
#подборка #уязвимости #API
LH | Новости | Курсы | Мемы
• Postman - Популярная среда разработки API для тестирования, документирования и мониторинга API.
• Firetail - Инструмент мониторинга API для обнаружения аномалий и изменений в трафике API.
• Karate Labs - Инструмент для автоматического тестирования API, который объединяет тесты API, моки и даже автоматизацию тестирования UI.
• Katalon - Платформа для автоматизации тестирования, поддерживающая API, веб- и мобильные приложения.
• APIClarity - Инструмент для визуализации API-трафика и выявления несоответствий в спецификациях API.
• APIsec - Автоматизированная платформа для тестирования безопасности API, предоставляющая непрерывную оценку уязвимостей.
• Apisecscan - Сервис для сканирования уязвимостей API, который предлагает тестирование безопасности и оценку рисков.
• Astra - Это платный автоматический сканер безопасности API, который можно использовать для проверки безопасности REST и GraphQL API. Он автоматически тестирует API на наличие различных типов уязвимостей и предоставляет подробные отчеты.
• Hoppscotch - Открытый источник, который помогает в тестировании и документировании API.
#подборка #уязвимости #API
LH | Новости | Курсы | Мемы
На первой неделе курса "OSINT для новичков" мы изучили основы OSINT, типы сбора информации, плюсы и минусы OSINT, познакомились с правовыми ограничениями, Google Dorks и разобрались, что такое цифровой след.
Если вы что-то пропустили и желаете прочитать, то вот список материалов первой недели:
Первая серия материалов - "Введение в OSINT":
• Введение в OSINT
• Стороны, заинтересованные в OSINT информации
• Типы сбора информации
• Преимущества и проблемы OSINT
• Правовые и этические ограничения
• Цифровой след
• Google Dorking
Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!
Приватный клуб единомышленников, по всем вопросам вступления в клуб писать сюда.
Следующую неделю мы посвятим теме «OSINT инструменты».
#OSINT #обучениеOSINT #статья
LH | Новости | Курсы | Мемы
Если вы что-то пропустили и желаете прочитать, то вот список материалов первой недели:
Первая серия материалов - "Введение в OSINT":
• Введение в OSINT
• Стороны, заинтересованные в OSINT информации
• Типы сбора информации
• Преимущества и проблемы OSINT
• Правовые и этические ограничения
• Цифровой след
• Google Dorking
Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!
Приватный клуб единомышленников, по всем вопросам вступления в клуб писать сюда.
Следующую неделю мы посвятим теме «OSINT инструменты».
#OSINT #обучениеOSINT #статья
LH | Новости | Курсы | Мемы
SQL Injection Cheatsheet
#SQL #
Шпаргалка по SQL-инъекциям. Полезные нагрузки / методы, которые охватывают 5 самых популярных вариантов баз данных и их производных (MySQL, PostgreSQL, MSSQL/SQL Server, Oracle, SQLite).
Ссылка на шпаргалку.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#SQL #
cheatsheet
Шпаргалка по SQL-инъекциям. Полезные нагрузки / методы, которые охватывают 5 самых популярных вариантов баз данных и их производных (MySQL, PostgreSQL, MSSQL/SQL Server, Oracle, SQLite).
Ссылка на шпаргалку.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
CVE-2023-34992: Fortinet FortiSIEM Command Injection Deep-Dive
#cve #Fortinet
В начале 2023 года, во время аудита Fortinet FortiSIEM было обнаружено несколько проблем, которые в конечном итоге привели к удаленному выполнению кода без проверки подлинности в контексте пользователя root. Уязвимостям был присвоен CVE-2023-34992 с оценкой 10,0 по шкале CVSS3.0, уязвимость позволяла считывать секреты интегрированных систем, что в дальнейшем позволяло переходить в эти системы.
Ссылка на статью.
Ссылка на POC CVE-2023-34992.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#cve #Fortinet
В начале 2023 года, во время аудита Fortinet FortiSIEM было обнаружено несколько проблем, которые в конечном итоге привели к удаленному выполнению кода без проверки подлинности в контексте пользователя root. Уязвимостям был присвоен CVE-2023-34992 с оценкой 10,0 по шкале CVSS3.0, уязвимость позволяла считывать секреты интегрированных систем, что в дальнейшем позволяло переходить в эти системы.
Ссылка на статью.
Ссылка на POC CVE-2023-34992.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Hidden Menace: How to Identify Misconfigured and Dangerous Logon Scripts
#AD #RedTeam
Внутренние сети изобилуют скрытыми угрозами, которые часто проявляются неожиданным образом. Среди них сценарии входа в систему, безобидный компонент управления пользователями и компьютерами, может оказаться одним из самых опасных потенциальных векторов атак. Эти сценарии, предназначенные для упрощения доступа пользователей и автоматизации различных задач во время входа в систему. Они могут непреднамеренно стать ахиллесовой пятой системы безопасности организации, если их не настроить должным образом.
ScriptSentry - инструмент для поиска опасных сценариев входа.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#AD #RedTeam
Внутренние сети изобилуют скрытыми угрозами, которые часто проявляются неожиданным образом. Среди них сценарии входа в систему, безобидный компонент управления пользователями и компьютерами, может оказаться одним из самых опасных потенциальных векторов атак. Эти сценарии, предназначенные для упрощения доступа пользователей и автоматизации различных задач во время входа в систему. Они могут непреднамеренно стать ахиллесовой пятой системы безопасности организации, если их не настроить должным образом.
ScriptSentry - инструмент для поиска опасных сценариев входа.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
This media is not supported in your browser
VIEW IN TELEGRAM
EventLogCrasher
#RedTeam #bypass #av
Инструмент, который позволяет любому пользователю аварийно завершить работу службы журнала событий Windows на компьютере с Windows 10 или Windows Server 2022 в том же домене. Сбой происходит в wevtsvc! VerifyUnicodeString, когда злоумышленник отправляет неправильно сформированный объект UNICODE_STRING методу ElfrRegisterEventSourceW, предоставляемому протоколом удаленного взаимодействия EventLog на основе RPC.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#RedTeam #bypass #av
Инструмент, который позволяет любому пользователю аварийно завершить работу службы журнала событий Windows на компьютере с Windows 10 или Windows Server 2022 в том же домене. Сбой происходит в wevtsvc! VerifyUnicodeString, когда злоумышленник отправляет неправильно сформированный объект UNICODE_STRING методу ElfrRegisterEventSourceW, предоставляемому протоколом удаленного взаимодействия EventLog на основе RPC.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Продолжаем, погружаться в мир #OSINT с нашим бесплатным теоретическим курсом "OSINT для новичков"!
#статья #обучениеOSINT
Вторая серия материалов: "OSINT инструменты"
Хакерские поисковые системы.
Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!
Первая неделя курса.
LH | Новости | Курсы | Мемы
#статья #обучениеOSINT
Вторая серия материалов: "OSINT инструменты"
Хакерские поисковые системы.
Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!
Первая неделя курса.
LH | Новости | Курсы | Мемы
Telegraph
Хакерские поисковые системы.
Все мы пользуемся поисковыми системами в повседневной жизни, будь то поиск рецепта или любая другая задача. Но задумывались ли вы, какие инструменты и поисковые системы могут использовать хакеры для поиска целей, определения периметра атаки или обнаружения…
CVE-2024-23108: Fortinet FortiSIEM 2nd Order Command Injection Deep-Dive
#cve #Fortinet
CVE-2024-23108 и CVE-2024-23109 с оценкой 10,0 по шкале CVSS3, позволяющие удаленно выполнять команды без аутентификации от имени root. В этом блоге будет рассмотрена только первая уязвимость, CVE-2024-23108, учитывая, что обе уязвимости были исправлены в одном выпуске.
Ссылка на PoC CVE-2024-23108.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#cve #Fortinet
CVE-2024-23108 и CVE-2024-23109 с оценкой 10,0 по шкале CVSS3, позволяющие удаленно выполнять команды без аутентификации от имени root. В этом блоге будет рассмотрена только первая уязвимость, CVE-2024-23108, учитывая, что обе уязвимости были исправлены в одном выпуске.
Ссылка на PoC CVE-2024-23108.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Топ инструментов для аудита беспроводных сетей
#WiFi #подборка
• Reaver – инструмент для атаки на WPS (Wi-Fi Protected Setup), позволяет взломать PIN-код WPS и получить доступ к паролю WPA/WPA2 сети. Содержит многочисленные улучшения и исправления ошибок по сравнению с оригинальной версией.
• Aircrack-ng – набор инструментов для анализа беспроводных сетей. Включает утилиты для захвата пакетов, анализа трафика, взлома WEP и WPA/WPA2 паролей, а также мониторинга сети. Один из самых популярных инструментов в области аудита беспроводных сетей.
• Wifite2 – автоматизированный инструмент для аудита беспроводных сетей. Поддерживает множество атак, включая взлом WEP, WPA/WPA2 и другие. Упрощает процесс тестирования безопасности Wi-Fi сетей.
• Bettercap – мощный инструмент для проведения атак типа MITM, анализа трафика и аудита безопасности сетей. Поддерживает множество протоколов и может использоваться для тестирования как проводных, так и беспроводных сетей.
• Wifibroot – инструмент для проведения атак на WPA/WPA2 сети с использованием словарных атак. Поддерживает параллельные атаки и может использоваться для быстрого взлома паролей.
• Kismet – система для пассивного обнаружения беспроводных сетей, захвата пакетов и анализа трафика. Поддерживает множество типов беспроводных сетей, включая Wi-Fi, Bluetooth и другие.
• Airgeddon – многофункциональный инструмент для аудита беспроводных сетей. Поддерживает различные типы атак, включая взлом WPA/WPA2, создание фальшивых точек доступа и другие.
• Fluxion – инструмент для проведения атак на WPA/WPA2 сети с использованием методов социальной инженерии. Создает фальшивые точки доступа и перехватывает данные пользователей для взлома паролей.
• Wifipumpkin3 – инструмент для проведения атак типа MITM на беспроводные сети. Позволяет создавать фальшивые точки доступа, перехватывать и модифицировать трафик.
• Wifiphisher – Создает фальшивые точки доступа для сбора данных пользователей.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#WiFi #подборка
• Reaver – инструмент для атаки на WPS (Wi-Fi Protected Setup), позволяет взломать PIN-код WPS и получить доступ к паролю WPA/WPA2 сети. Содержит многочисленные улучшения и исправления ошибок по сравнению с оригинальной версией.
• Aircrack-ng – набор инструментов для анализа беспроводных сетей. Включает утилиты для захвата пакетов, анализа трафика, взлома WEP и WPA/WPA2 паролей, а также мониторинга сети. Один из самых популярных инструментов в области аудита беспроводных сетей.
• Wifite2 – автоматизированный инструмент для аудита беспроводных сетей. Поддерживает множество атак, включая взлом WEP, WPA/WPA2 и другие. Упрощает процесс тестирования безопасности Wi-Fi сетей.
• Bettercap – мощный инструмент для проведения атак типа MITM, анализа трафика и аудита безопасности сетей. Поддерживает множество протоколов и может использоваться для тестирования как проводных, так и беспроводных сетей.
• Wifibroot – инструмент для проведения атак на WPA/WPA2 сети с использованием словарных атак. Поддерживает параллельные атаки и может использоваться для быстрого взлома паролей.
• Kismet – система для пассивного обнаружения беспроводных сетей, захвата пакетов и анализа трафика. Поддерживает множество типов беспроводных сетей, включая Wi-Fi, Bluetooth и другие.
• Airgeddon – многофункциональный инструмент для аудита беспроводных сетей. Поддерживает различные типы атак, включая взлом WPA/WPA2, создание фальшивых точек доступа и другие.
• Fluxion – инструмент для проведения атак на WPA/WPA2 сети с использованием методов социальной инженерии. Создает фальшивые точки доступа и перехватывает данные пользователей для взлома паролей.
• Wifipumpkin3 – инструмент для проведения атак типа MITM на беспроводные сети. Позволяет создавать фальшивые точки доступа, перехватывать и модифицировать трафик.
• Wifiphisher – Создает фальшивые точки доступа для сбора данных пользователей.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Продолжаем, погружаться в мир #OSINT с нашим бесплатным теоретическим курсом "OSINT для новичков"!
#статья #обучениеOSINT
Вторая серия материалов: "OSINT инструменты"
OSINT на платформе Telegram.
Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!
Первая неделя курса.
LH | Новости | Курсы | Мемы
#статья #обучениеOSINT
Вторая серия материалов: "OSINT инструменты"
OSINT на платформе Telegram.
Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!
Первая неделя курса.
LH | Новости | Курсы | Мемы
Telegraph
OSINT на платформе Telegram.
Использование OSINT ботов позволяет перевести исследование на новый уровень. Топ поисковых ботов Quick OSINT: Этот опытный бот предоставляет множество функций, включая поиск информации о физических и юридических лицах, поиск почты, телефонов, паролей и других…
Топ популярных/полезных постов за прошедшую неделю (сохрани себе чтобы не потерять):
1. Предыдущий топ статей
2. macOS Red Teaming
3. Google Dorking
4. Лучшие инструменты для тестирования и поиска уязвимостей API
5. Первая серия материалов - "Введение в OSINT"
6. SQL Injection Cheatsheet
7. Приватный клуб
8. Топ инструментов для аудита беспроводных сетей
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | Новости | Курсы | Мемы
1. Предыдущий топ статей
2. macOS Red Teaming
3. Google Dorking
4. Лучшие инструменты для тестирования и поиска уязвимостей API
5. Первая серия материалов - "Введение в OSINT"
6. SQL Injection Cheatsheet
7. Приватный клуб
8. Топ инструментов для аудита беспроводных сетей
#подборка #лучшиестатьи #информационнаябезопасность #ИБ #хакинг
LH | Новости | Курсы | Мемы
Автоматизация поиска аккаунта в телеграм через номер. Простой поиск людей через телеграм
#статья #OSINT #ШХ
В этой статье хотим рассмотреть очередной перечень инструментов которые могут значительно упростить жизнь сетевым разведчикам.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#статья #OSINT #ШХ
В этой статье хотим рассмотреть очередной перечень инструментов которые могут значительно упростить жизнь сетевым разведчикам.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Forwarded from Proxy Bar
Доброй ночи.
Написал небольшуюкнижку\руководство для начинающих взломщиков Linux.
Сей труд навеян вечным вопросом "Подскажите с чего начать?".
На какую то уникальность не претендую, но надеюсь кому то окажется полезным.
За вычитку благодарю uberhahn
Ну и с первым днем лета и днем защиты детей )
Само руководство book.proxy-bar.org
#book #linux #hex
Написал небольшую
Сей труд навеян вечным вопросом "Подскажите с чего начать?".
На какую то уникальность не претендую, но надеюсь кому то окажется полезным.
За вычитку благодарю uberhahn
Ну и с первым днем лета и днем защиты детей )
Само руководство book.proxy-bar.org
#book #linux #hex
ShellGhost
#evasion #av #RedTeam
Метод обхода на основе памяти, который делает шелл-код невидимым от начала до конца процесса.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#evasion #av #RedTeam
Метод обхода на основе памяти, который делает шелл-код невидимым от начала до конца процесса.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
SAST для самых маленьких. Обзор open-source инструментов поиска уязвимостей для C/C++
#sast
Героями статьи стали несколько известных и развивающихся инструментов статического анализа кода, которые могут пригодиться исследователям безопасности в процессе поиска уязвимостей. Мы постарались отобрать инструменты так, чтобы они обязательно имели открытый исходный код, возможность работы с языками C/C++ (так как они являются наиболее сложными в аспекте безопасного программирования) и без каких-либо ограничений для этого (например, как в SonarQube), а также имели возможность создавать собственные запросы/правила для кастомизации анализа под конкретный проект/тип уязвимости с минимальными усилиями.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#sast
Героями статьи стали несколько известных и развивающихся инструментов статического анализа кода, которые могут пригодиться исследователям безопасности в процессе поиска уязвимостей. Мы постарались отобрать инструменты так, чтобы они обязательно имели открытый исходный код, возможность работы с языками C/C++ (так как они являются наиболее сложными в аспекте безопасного программирования) и без каких-либо ограничений для этого (например, как в SonarQube), а также имели возможность создавать собственные запросы/правила для кастомизации анализа под конкретный проект/тип уязвимости с минимальными усилиями.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Продолжаем, погружаться в мир #OSINT с нашим бесплатным теоретическим курсом "OSINT для новичков"!
#статья #обучениеOSINT
Вторая серия материалов: "OSINT инструменты"
OSINT: theHarvester и HaveIbeenPwned.
Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!
Первая неделя курса.
LH | Новости | Курсы | Мемы
#статья #обучениеOSINT
Вторая серия материалов: "OSINT инструменты"
OSINT: theHarvester и HaveIbeenPwned.
Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!
Первая неделя курса.
LH | Новости | Курсы | Мемы
Telegraph
OSINT: theHarvester и HaveIbeenPwned
theHarvester — это простой, но полезный инструмент для сбора адресов электронной почты, банеров, виртуальных хостов, поддоменов, открытых портов и имен сотрудников из разных открытых источников. Для примера, соберем имена сотрудников работающих в Microsoft…
Удобный мониторинг трафика. Заглушка сети. Переводим адаптер TP-Link в режим мониторинга
#статья #WiFi
Продолжая рубрику статей "Без про-v-ода", хотим представить вам два хороших инструмента, которые помогут в исследовании сетей Wi-Fi на безопасность и значительно упростить жизнь тем, кто по каким-либо причинам не может приобрести адаптер Alfa.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#статья #WiFi
Продолжая рубрику статей "Без про-v-ода", хотим представить вам два хороших инструмента, которые помогут в исследовании сетей Wi-Fi на безопасность и значительно упростить жизнь тем, кто по каким-либо причинам не может приобрести адаптер Alfa.
Ссылка на статью.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
graftcp
#RedTeam #proxy
Гибкий инструмент для перенаправления TCP-трафика заданной программы на SOCKS5 или HTTP прокси.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
#RedTeam #proxy
Гибкий инструмент для перенаправления TCP-трафика заданной программы на SOCKS5 или HTTP прокси.
Ссылка на инструмент.
LH | Новости | Курсы | Мемы
#рекомендация
#рекомендации
Продолжаем, погружаться в мир #OSINT с нашим бесплатным теоретическим курсом "OSINT для новичков"!
#статья #обучениеOSINT
Вторая серия материалов: "OSINT инструменты"
OSINT: Snoop, GHunt, ReconSpider.
Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!
Первая неделя курса.
LH | Новости | Курсы | Мемы
#статья #обучениеOSINT
Вторая серия материалов: "OSINT инструменты"
OSINT: Snoop, GHunt, ReconSpider.
Не забывайте следить и делиться нашим бесплатным курсом "OSINT для новичков"!
Первая неделя курса.
LH | Новости | Курсы | Мемы
Telegraph
OSINT: Snoop, GHunt, ReconSpider.
Snoop — один из самых быстрых и мощных инструментов для поиска по имени. Он использует около 500 источников для сбора информации. Инструмент подходит для запуска почти на любой платформе: OS GNU/Linux OS Android/Termux OS Windows 7/10 (32-64bit) Проект является…