#SQL
#CTF
#Linux
#Windows
#WiFi
#WPS
#WPA
#Dorks
#OSINT
#BurpSuite
#BugBounty
#API
#OWASP
#Injection
#Web
#Recon
#Encryption
#Vulnerability
#XSS
#CSRF
#HTTP
#WAF
#Tools
#Forensics
#MITM
#SocialEngineering (#SE)
#ReversEngeniring (#RE)
#News
#OpenSource
• Сетевая разведка (OSINT)
• Курс по SQL для начинающих
• EXIF - данные, метаданные
• Защита API - что необходимо знать?
• TCP: что за протокол такой?
• DNS атака: как это работает
• Модели OSI - сетевые протоколы
• 4 главных навыка специалиста по информационной безопасности
• Что о вас знает интернет-провайдер?
• Топ 5 правил безопасности в интернете
• Burp Suite: вникаем в аудит безопасности
• Базовые инструменты для тестирования в Kali Linux
• OSINT: руководство для самых маленьких
• Подборка дорков для более чем 10 известных сервисов
• Поиск в сети с помощью Maltego
• Offensive OSINT Tools
• Мануал по Maltego. Сбор информации
• Shodan и Censys: поиск скрытых деталей в Интернете
• Cканирование сайта с помощью Google дорков
• Mitaka - расширение браузера для OSINT
• CSI Linux. Убийца в мире пробива
• Blackbird - инструмент OSINT для поиска учетных записей
• EmailHarvester - инструмент для получения адресов электронной почты
• OSINT фреймворк для Github
• 20 практических приемов OSINT c применением новых возможностей цифрового мира
• Maltego: исследование веб-сайтов, хостинга и почт
• Поиск в сети с помощью Maltego
• Maltego: сканирование уязвимостей
• Maltego: исследование серверов, доменов и файлов
• Доксинг. Защити свои данные от деанона.
• DarkSide: сбор информации и соц. инженерия
• Kali Linux: Базовый инструментарий для пентеста
• Как взломать WPA / WPA2 WiFi с помощью Kali Linux?
• Инструменты для хакинга на Kali Linux
• Установка Kali Linux в VirtualBox
• Основные приемы манипуляции в дискуссии
• 10 человеческих слабостей, которые помогут управлять людьми
• Исключительные методы взлома
• Аудит с использованием соц. инженерии
• Kerberos: руководство для пентестеров
• Red Rabbit - Пентест и постэксплуатация
• Пентест сайта. 12 шагов.
• Подборка лабораторий для практики веб-пентеста
• Пентест Apache log4j
• Пентест сети IPv6
• Пентест: Wi-Fi с WPA паролем
• Rekono - автоматический пентест
• SQLmap: пентест БД
• Материалы по пентесту API
• Инструменты для хакинга на Kali Linux
• Подборка браузерных расширений для Bug Bounty и пентеста
• fsociety – платформа для тестирования на проникновение
• OWASP Top 10: A1 SQL - инъекции
• OWASP Top 10: A2 Сломанная аутентификация и управление сеансами
• OWASP Top 10: A3 Раскрытие конфиденциальных данных
• OWASP Top 10: A4 XXE Атака внешнего объекта XML
• OWASP Top 10: A5 Нарушенный контроль доступа
• OWASP Top 10: A6 Неправильная конфигурация безопасности
• OWASP Top 10: A7 Межсайтовый скриптинг (XSS)
• OWASP Top 10: A8 Небезопасная десериализация
• OWASP Top 10: A9 Использование компонентов с известными уязвимостями
• OWASP Top 10: A10 Недостаточное ведение журнала и мониторинг
• Подделка межсайтовых запросов (CSRF) – уязвимость OWASP
• OWASP. Методология тестирования безопасности веб-приложений
• Небольшая подборка плагинов для OWASP ZAP
• Форензика: идентификация поддельных изображений
• Создание левой личности
• Как удалить свой номер из GetContact
• Как удалить персональные данные из ботов пробива
• Реализация двойного дна на IOS и Android
• Комплексная проверка анонимности
• Конфиденциальность в криптовалютах
• Настройки безопасности: Отключаем слежку в Windows
• Как удалить персональные данные из ботов пробива
• Находим все аккаунты, связанные с вашей почтой
• Что Google знает о вас
• Одни из самых анонимных OC
Помимо всего прочего, в канале бесплатно публикуем различную литературу и руководства — #books
Please open Telegram to view this post
VIEW IN TELEGRAM
👍114⚡80❤44🔥38🤯10❤🔥7✍6🤡4🤔3☃2😎2
Практика необходима для овладения искусством. Хакерство - это в основном искусство, поскольку оно больше связано с тем, как вы используете инструменты. В этом посте отобраны топ-5 ресурсов для совершенствования ваших навыков.
1. Академия веб-безопастности от PortSwigger: Разработчики BurpSuite теперь предоставляют бесплатное онлайн-обучение безопасности веб-приложений. Тренинг содержит учебные пособия и лабораторные работы практически по каждой уязвимости, часто встречающейся в современных веб-приложениях.
2. HackTheBox: Это набор уязвимых приложений, каждая из которых уникальна, пользователь должен скомпроментировать ее и получить необходимые привилегии.
3. HackThisSite: Это место очень известно среди хакеров, вероятно, потому, что его основатель был арестован за незаконную кибердеятельность. HackThisSite универсален. Хакерские задачи на этом сайте называются “миссиями” и классифицируются следующим образом:
• Основные миссии
• Реалистичные миссии
• Прикладные миссии
• Криминалистические миссии
• Миссии по программированию
4. HellBound Hackers: На этом ресурсе есть статьи, учебные пособия, проблемы со взломом и форум. Вы можете практиковать веб-взлом, отслеживание электронной почты, взлом программного обеспечения, проблемы шифрования, стеганографию и даже социальную инженерию.
5. Vulnhub: Это центр уязвимых виртуальных машин. Он индексирует намеренно уязвимые машины, созданные экспертами из разных мест. Уязвимые машины можно загрузить и установить на своей платформе. VulnHub разнообразен, поскольку в нем размещаются уязвимые машины на основе банковских веб-приложений и CTF базового уровня.
#Web #Pentest #HTTP |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍63🔥14☃10❤9⚡2🕊2🖕1
Часто бывает такое, что необходимо изучить как эксплуатировать ту или иную уязвимость, но не получается найти ресурс. В этом посте нашли для вас поисковик по Bug Bounty райтапам. На сайте собрано почти 2.5к ссылок на отчеты.
#BugBounty #report |
Please open Telegram to view this post
VIEW IN TELEGRAM
👏15👍12❤🔥4❤3
This media is not supported in your browser
VIEW IN TELEGRAM
Vajra - это фреймворк, автоматизирующий рутинные задачи сбора информации и сканирования целей во время тестирования на проникновение веб-приложений.
Vajra использует наиболее распространенные инструменты с открытым исходным кодом, которые каждый охотник за ошибками использует во время тестирования на цели.
— Инструмент делает всё через веб-браузер с очень простым пользовательским интерфейсом, что делает его абсолютно удобным фреймворком для начинающих.
Более подробно вы можете ознакомиться с данным инструментом на его странице GitHub.
#Web #OSINT #Tools |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍35❤3👏3😱1
Что можно попробовать, когда обычные способы обхода
403 не работают?Возможно, некоторые из вас знают, что определенные конечные точки не будут принимать запросы без заголовка
Referer. И если Referer не соответствует поддомену или, по крайней мере, базовому домену, это приведет к коду ответа 403 или 404, или перенаправлению.Но каким образом мы можем получить доступ к закрытым данным в таком случае? Об этом и пойдёт речь в данной статье.
➖ https://telegra.ph/Vazhnost-analiza-istorii-Burp-Suite-dlya-obhoda-oshibki-403-02-09
#BurpSuite #leak |
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥19👍10❤5
— Небольшой список полезных инструментов для работы с сайтами в сети Tor.
Поисковые утилиты:
- OnionSearch
- Darkdump
- Ahmia Search Engine - Ссылка на GitHub
- DarkSearch - Ссылка на GitHub
- Katana
Инструменты для получения onion ссылок:
- Hunchly
- H-Indexer
- Tor66 Fresh Onions
Инструменты для сканирования:
- Onionscan
- Onioff
- Onion-nmap
Краулеры:
- TorBot
- TorCrawl
- VigilantOnion
- OnionIngestor
#TOR #OSINT #Tools |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍39❤5
В этой статье автор расскажет о найденной уязвимости IDOR в одном из правительственных сайтов, который содержал в себе большое количество конфиденциальной информации граждан.
IDOR — (Insecure Direct Object Reference, небезопасные прямые ссылки на объекты) — это уязвимость, которая позволяет получить несанкционированный доступ к веб-страницам или файлам.
#Web #IDOR |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍25👏8❤4
В этой статье рассмотрим 8 самых распространённых способа обхода брандмауэра.
#Web #Firewall |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍41🔥4☃2🗿2🥰1
Начать заниматься IT можно, не дожидаясь выпускного! Так вы не только освоите уникальные скиллы, но и поймёте, какая профессия вам по-настоящему подходит.
А погружаясь в IT с Яндекс Лицеем, вы сможете попробовать себя в практических задачах и получите актуальные знания от опытных разработчиков.
Сейчас Яндекс Лицей предлагает бесплатное обучение по Python, Go, разработке игр, Machine Learning, Django, анализу данных и Big Data. Можно выбрать годовые офлайн- или онлайн-курсы. В программе — интенсивное погружение в IT, работа над групповыми проектами и много общения с единомышленниками.
В Лицее ждут школьников 8‒11-х классов и студентов ссузов 1-2-х курсов. Скорее переходите по ссылке и читайте подробности
А погружаясь в IT с Яндекс Лицеем, вы сможете попробовать себя в практических задачах и получите актуальные знания от опытных разработчиков.
Сейчас Яндекс Лицей предлагает бесплатное обучение по Python, Go, разработке игр, Machine Learning, Django, анализу данных и Big Data. Можно выбрать годовые офлайн- или онлайн-курсы. В программе — интенсивное погружение в IT, работа над групповыми проектами и много общения с единомышленниками.
В Лицее ждут школьников 8‒11-х классов и студентов ссузов 1-2-х курсов. Скорее переходите по ссылке и читайте подробности
👍25🖕9🤡4❤🔥2❤1🫡1
Media is too big
VIEW IN TELEGRAM
В этом видеоматериале обсудим серьезные проблемы уровня защит компаний и насколько быстро их могут взломать вместе с руководителем отдела тестирования на проникновение PT.
#video
Please open Telegram to view this post
VIEW IN TELEGRAM
👍34👏3🤡3
Media is too big
VIEW IN TELEGRAM
— Дистрибутив Arch GNU/Linux для специалистов по информационной безопасности, охотников за ошибками, увлеченных студентов и хакеров.
Athena OS обладает следующими возможностями:
Демонстрация системы приведена в прикреплённом видеоролике.
#Linux #Pentest #Tools
Please open Telegram to view this post
VIEW IN TELEGRAM
👍41🆒6🤔4❤3🔥3🤡3⚡2🎉1
Станьте спикером ежегодного SOC-Forum!
SOC-Forum — главное место встречи экспертов по кибербезопасности.
В прошлом году форум собрал более 5 000 участников очно и свыше 14 000 — онлайн. В 2023 году он станет больше, чем только про SOC. Он — про реальную комплексную кибербезопасность.
Прием докладов уже открыт! Выберите трек и тему, заполните заявку и станьте спикером SOC-Forum. Самые интересные доклады жюри — топ-эксперты кибербеза — добавят в программу.
👉🏻https://forumsoc.ru/
SOC-Forum — главное место встречи экспертов по кибербезопасности.
В прошлом году форум собрал более 5 000 участников очно и свыше 14 000 — онлайн. В 2023 году он станет больше, чем только про SOC. Он — про реальную комплексную кибербезопасность.
Прием докладов уже открыт! Выберите трек и тему, заполните заявку и станьте спикером SOC-Forum. Самые интересные доклады жюри — топ-эксперты кибербеза — добавят в программу.
👉🏻https://forumsoc.ru/
👍11
В этой статье представлен большой список различных инструментов которые обязательны в тестировании.
Приведённые в статье утилиты очень важны, так как они отвечают за проверку качества сетевых решений и выявление любых проблем до того, как они повлияют на пользователей или бизнес.
#Web #research #tools |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍35👏4🔥3❤2🌭1
Kubernetes — один из ключевых элементов современной облачной экосистемы. Эта технология обеспечивает надежность, масштабируемость и устойчивость контейнерной виртуализации.
#DevOps #Kubernetes #books |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍16👏2😁1🗿1
Новый конкурс в «Охоте за ошибками» от Яндекса пройдет до конца августа с увеличенным в 5 раз вознаграждением
Разрешено использовать только собственные тестовые аккаунты без попыток получить доступ к информации других пользователей. Акцент в программе делается на 2 категориях уязвимостей:
🆘 IDOR, или небезопасный прямой доступ к объектам. Через такие уязвимости злоумышленники могут получить доступ к приватной информации с помощью ошибок в API.
🆘 Другие технические ошибки и уязвимости, которые дают возможность получить доступ к чувствительной закрытой информации.
За обнаружение критичных уязвимостей в этих категориях Яндекс готов платить до 2,8 млн рублей. Списки ошибок и уязвимостей для «охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте.
Дерзайте, охотники, до 31 августа уже не так много времени ⏳
Разрешено использовать только собственные тестовые аккаунты без попыток получить доступ к информации других пользователей. Акцент в программе делается на 2 категориях уязвимостей:
🆘 IDOR, или небезопасный прямой доступ к объектам. Через такие уязвимости злоумышленники могут получить доступ к приватной информации с помощью ошибок в API.
🆘 Другие технические ошибки и уязвимости, которые дают возможность получить доступ к чувствительной закрытой информации.
За обнаружение критичных уязвимостей в этих категориях Яндекс готов платить до 2,8 млн рублей. Списки ошибок и уязвимостей для «охоты», а также размеры денежных наград за их обнаружение можно посмотреть на сайте.
Дерзайте, охотники, до 31 августа уже не так много времени ⏳
👍11❤🔥8🔥2✍1😁1
Media is too big
VIEW IN TELEGRAM
С чего обычно начинают знакомиться с тестированием безопасности — пентестом? Пробуют перебрать пароли от какого-либо сервиса. Знакомятся с OWASP Top 10 и начинают искать XSS, добавляя в поля img src=x onerror=alert('XSS');.
— Но начинать, по мнению спикера, лучше всего с IDOR (BOLA). Эта уязвимость очень простая и часто встречается в различных сервисах.
Из видеоматериала вы научитесь искать IDOR. Он будет полезен всем, кто хочет начать тестировать безопасность в своем продукте и вместе поискать IDOR с помощью инструмента Burp Suite.
#IDOR #video |
Please open Telegram to view this post
VIEW IN TELEGRAM
✍25👍13🥱1
Media is too big
VIEW IN TELEGRAM
Данила Сащенко, старший специалист по тестированию на проникновение, BI.ZONE расскажет, каков подход к проведению тестирований на проникновения, примеры интересных находок.
#video #pentest |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍29⚡4🤡1🆒1
В этой статье я собираюсь показать вам три способа использования распространенных шаблонов атак, чтобы улучшить навыки атаки и подойти к тестированию безопасности API с учетом мышления злоумышленника.
Это основано на посте, который я уже публиковал, контрольный список тестирования безопасности API с использованием распространенных шаблонов атак.
#CVE #API |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22🔥4
EasyScan - это скрипт Python, который анализирует безопасность веб-сайта, проверяя его заголовки НТТР и записи DNS.
— Скрипт формирует отчет о безопасности с рекомендациями по устранению потенциальных уязвимостей.
Тестовые случаи, охватываемые сценарием, включают записи SPF, записи DMARC, общедоступную страницу администратора, список каталогов, отсутствующие заголовки безопасности, небезопасные настройки файлов cookie, раскрытие информации, неправильные конфигурации совместного использования ресурсов и многое другое…
Важно отметить, что сценарий может не охватывать все возможные сценарии безопасности, но охватывает самые популярные.
#Web #Tools #HTTP #DNS |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍32👏4❤2🔥2😢1
В этой статье рассмотрим простую уязвимость, позволяющая выполнять произвольный код и получить реверс шелл на одном из сервисов гугла.
➖ https://telegra.ph/Inekciya-komand-v-Google-Cloud-Shell-12-10
#Injection |
Please open Telegram to view this post
VIEW IN TELEGRAM
👍34❤🔥3❤2