😈 Важность анализа истории Burp Suite для обхода ошибки 403

Что можно попробовать, когда обычные способы обхода 403 не работают?

Возможно, некоторые из вас знают, что определенные конечные точки не будут принимать запросы без заголовка Referer. И если Referer не соответствует поддомену или, по крайней мере, базовому домену, это приведет к коду ответа 403 или 404, или перенаправлению.

Но каким образом мы можем получить доступ к закрытым данным в таком случае? Об этом и пойдёт речь в данной статье.

➖ https://telegra.ph/Vazhnost-analiza-istorii-Burp-Suite-dlya-obhoda-oshibki-403-02-09

#BurpSuite #leak | 💀 Этичный хакер

😈 OSINT инструменты для теневой части интернета

— Небольшой список полезных инструментов для работы с сайтами в сети Tor.

Поисковые утилиты:
- OnionSearch
- Darkdump
- Ahmia Search Engine - Ссылка на GitHub
- DarkSearch - Ссылка на GitHub
- Katana

Инструменты для получения onion ссылок:
- Hunchly
- H-Indexer
- Tor66 Fresh Onions

Инструменты для сканирования:
- Onionscan
- Onioff
- Onion-nmap

Краулеры:
- TorBot
- TorCrawl
- VigilantOnion
- OnionIngestor

#TOR #OSINT #Tools | 💀 Этичный хакер

😈 Раскрытие личных данных о 100 миллионах человек

В этой статье автор расскажет о найденной уязвимости IDOR в одном из правительственных сайтов, который содержал в себе большое количество конфиденциальной информации граждан.

IDOR — (Insecure Direct Object Reference, небезопасные прямые ссылки на объекты) — это уязвимость, которая позволяет получить несанкционированный доступ к веб-страницам или файлам.

🗣 Ссылка на чтиво

#Web #IDOR | 💀 Этичный хакер

😈 Самые популярные методы, используемые хакерами для обхода брандмауэров

В этой статье рассмотрим 8 самых распространённых способа обхода брандмауэра.

🗣 Ссылка на чтиво

#Web #Firewall | 💀 Этичный хакер

😈 Уровень защиты компаний. Как быстро злоумышленники могут взломать организацию

В этом видеоматериале обсудим серьезные проблемы уровня защит компаний и насколько быстро их могут взломать вместе с руководителем отдела тестирования на проникновение PT.

#video

😈 Постоянная система для пентестера - Athena OS

— Дистрибутив Arch GNU/Linux для специалистов по информационной безопасности, охотников за ошибками, увлеченных студентов и хакеров.

Athena OS обладает следующими возможностями:

📶 Athena может получить доступ к репозиторию BlackArch, самому большому хранилищу инструментов для пентестинга.
📶 Если Arch создан для опытных пользователей, то Athena предназначена для снижения сложности и улучшения взаимодействия с пользователем.
📶 Athena оптимизирует потребление дискового пространства, извлекая нужные вам инструменты только тогда, когда вы их используете. Инструменты, которые вы никогда не используете, не будут храниться, а пространство будет использоваться только для того, что вам действительно нужно.
📶 Athena основана на Arch Linux, поэтому она настроена на минимальную загрузку для своих целей. Никаких бесполезных сервисов, никаких бесполезных модулей, потребляющих ваши ресурсы.

Демонстрация системы приведена в прикреплённом видеоролике.

🗣 Ссылка на GitHub

#Linux #Pentest #Tools

😈 Анализ доменов через Reverse Whois Lookup

Утилита для сбора доменов через reverse WHOIS lookup с использованием whoisxml API.

Всё что вам необходимо это указывать имя организации который в SSL сертификате и получаем домены компании.

🗣 ​​Ссылка на GitHub

#OSINT #Web #API #Tools

😈 Важнейшие инструменты для тестирования в сети

В этой статье представлен большой список различных инструментов которые обязательны в тестировании.

Приведённые в статье утилиты очень важны, так как они отвечают за проверку качества сетевых решений и выявление любых проблем до того, как они повлияют на пользователей или бизнес.

🗣 Ссылка на чтиво

#Web #research #tools | 💀 Этичный хакер

📚 Книга: Kubernetes для DevOps: развертывание, запуск и масштабирование в облаке

Kubernetes — один из ключевых элементов современной облачной экосистемы. Эта технология обеспечивает надежность, масштабируемость и устойчивость контейнерной виртуализации.

🗣 Ссылка на книгу

#DevOps #Kubernetes #books | 💀 Этичный хакер

😈 Поиск уязвимостей IDOR (BOLA)

С чего обычно начинают знакомиться с тестированием безопасности — пентестом? Пробуют перебрать пароли от какого-либо сервиса. Знакомятся с OWASP Top 10 и начинают искать XSS, добавляя в поля img src=x onerror=alert('XSS');.

— Но начинать, по мнению спикера, лучше всего с IDOR (BOLA). Эта уязвимость очень простая и часто встречается в различных сервисах.

Из видеоматериала вы научитесь искать IDOR. Он будет полезен всем, кто хочет начать тестировать безопасность в своем продукте и вместе поискать IDOR с помощью инструмента Burp Suite.

#IDOR #video | 💀 Этичный хакер

😈 Пентест через призму ресерча

Данила Сащенко, старший специалист по тестированию на проникновение, BI.ZONE расскажет, каков подход к проведению тестирований на проникновения, примеры интересных находок.

#video #pentest | 💀 Этичный хакер

😈 3 способа использования CVE для пентеста API

В этой статье я собираюсь показать вам три способа использования распространенных шаблонов атак, чтобы улучшить навыки атаки и подойти к тестированию безопасности API с учетом мышления злоумышленника.

Это основано на посте, который я уже публиковал, контрольный список тестирования безопасности API с использованием распространенных шаблонов атак.

🗣 Ссылка на чтиво

#CVE #API | 💀 Этичный хакер

🛡 EasyScan — анализ безопастности веб-сайта

EasyScan - это скрипт Python, который анализирует безопасность веб-сайта, проверяя его заголовки НТТР и записи DNS.

— Скрипт формирует отчет о безопасности с рекомендациями по устранению потенциальных уязвимостей.

Тестовые случаи, охватываемые сценарием, включают записи SPF, записи DMARC, общедоступную страницу администратора, список каталогов, отсутствующие заголовки безопасности, небезопасные настройки файлов cookie, раскрытие информации, неправильные конфигурации совместного использования ресурсов и многое другое…

Важно отметить, что сценарий может не охватывать все возможные сценарии безопасности, но охватывает самые популярные.

🗣 Ссылка на GitHub

#Web #Tools #HTTP #DNS | 💀 Этичный хакер

😈 Инъекция команд в Google Cloud Shell

В этой статье рассмотрим простую уязвимость, позволяющая выполнять произвольный код и получить реверс шелл на одном из сервисов гугла.

➖ https://telegra.ph/Inekciya-komand-v-Google-Cloud-Shell-12-10

#Injection | 💀 Этичный хакер

😈 Киберразведка — это просто, и чем она отличается от «пробива», OSINT и HUMINT

На этом докладе спикер Дмитрий Махаев руководитель киберразвердки РТК-Солар расскажет как сейчас получают данные о готовящихся и прошедших атаках.

#OSINT #HUMINT | 💀 Этичный хакер

😈 MalwareBazaar - база образцов вредоносного ПО

В базе вы найдете широкий выбор малварных образцов для исследований и анализа.

Можно использовать удобную форму поиска, чтобы находить образцы по хэшу (MD5, SHA256, SHA1), импорт-хэшу (imphash), хэшу TLSh, сигнатуре ClamAV, тегу или семейству вредоносного ПО.

⏺ Ссылка на источник

#Cybersecurity #Malware | 💀 Этичный хакер

💬 Руководство: Cyber Security Expert + API Security Best Practices

Пошаговое руководство, как стать экспертом по кибербезопасности в 2023 году:

💬 Ссылка на Roadmap

Подробный список лучших практик для обеспечения
безопасности ваших API:

💬 Ссылка на Roadmap

#Cybersecurity #infosec #API