😈 Самые популярные методы, используемые хакерами для обхода брандмауэров

В этой статье рассмотрим 8 самых распространённых способа обхода брандмауэра.

🗣 Ссылка на чтиво

#Web #Firewall | 💀 Этичный хакер

😈 Уровень защиты компаний. Как быстро злоумышленники могут взломать организацию

В этом видеоматериале обсудим серьезные проблемы уровня защит компаний и насколько быстро их могут взломать вместе с руководителем отдела тестирования на проникновение PT.

#video

😈 Постоянная система для пентестера - Athena OS

— Дистрибутив Arch GNU/Linux для специалистов по информационной безопасности, охотников за ошибками, увлеченных студентов и хакеров.

Athena OS обладает следующими возможностями:

📶 Athena может получить доступ к репозиторию BlackArch, самому большому хранилищу инструментов для пентестинга.
📶 Если Arch создан для опытных пользователей, то Athena предназначена для снижения сложности и улучшения взаимодействия с пользователем.
📶 Athena оптимизирует потребление дискового пространства, извлекая нужные вам инструменты только тогда, когда вы их используете. Инструменты, которые вы никогда не используете, не будут храниться, а пространство будет использоваться только для того, что вам действительно нужно.
📶 Athena основана на Arch Linux, поэтому она настроена на минимальную загрузку для своих целей. Никаких бесполезных сервисов, никаких бесполезных модулей, потребляющих ваши ресурсы.

Демонстрация системы приведена в прикреплённом видеоролике.

🗣 Ссылка на GitHub

#Linux #Pentest #Tools

😈 Анализ доменов через Reverse Whois Lookup

Утилита для сбора доменов через reverse WHOIS lookup с использованием whoisxml API.

Всё что вам необходимо это указывать имя организации который в SSL сертификате и получаем домены компании.

🗣 ​​Ссылка на GitHub

#OSINT #Web #API #Tools

😈 Важнейшие инструменты для тестирования в сети

В этой статье представлен большой список различных инструментов которые обязательны в тестировании.

Приведённые в статье утилиты очень важны, так как они отвечают за проверку качества сетевых решений и выявление любых проблем до того, как они повлияют на пользователей или бизнес.

🗣 Ссылка на чтиво

#Web #research #tools | 💀 Этичный хакер

📚 Книга: Kubernetes для DevOps: развертывание, запуск и масштабирование в облаке

Kubernetes — один из ключевых элементов современной облачной экосистемы. Эта технология обеспечивает надежность, масштабируемость и устойчивость контейнерной виртуализации.

🗣 Ссылка на книгу

#DevOps #Kubernetes #books | 💀 Этичный хакер

😈 Поиск уязвимостей IDOR (BOLA)

С чего обычно начинают знакомиться с тестированием безопасности — пентестом? Пробуют перебрать пароли от какого-либо сервиса. Знакомятся с OWASP Top 10 и начинают искать XSS, добавляя в поля img src=x onerror=alert('XSS');.

— Но начинать, по мнению спикера, лучше всего с IDOR (BOLA). Эта уязвимость очень простая и часто встречается в различных сервисах.

Из видеоматериала вы научитесь искать IDOR. Он будет полезен всем, кто хочет начать тестировать безопасность в своем продукте и вместе поискать IDOR с помощью инструмента Burp Suite.

#IDOR #video | 💀 Этичный хакер

😈 Пентест через призму ресерча

Данила Сащенко, старший специалист по тестированию на проникновение, BI.ZONE расскажет, каков подход к проведению тестирований на проникновения, примеры интересных находок.

#video #pentest | 💀 Этичный хакер

😈 3 способа использования CVE для пентеста API

В этой статье я собираюсь показать вам три способа использования распространенных шаблонов атак, чтобы улучшить навыки атаки и подойти к тестированию безопасности API с учетом мышления злоумышленника.

Это основано на посте, который я уже публиковал, контрольный список тестирования безопасности API с использованием распространенных шаблонов атак.

🗣 Ссылка на чтиво

#CVE #API | 💀 Этичный хакер

🛡 EasyScan — анализ безопастности веб-сайта

EasyScan - это скрипт Python, который анализирует безопасность веб-сайта, проверяя его заголовки НТТР и записи DNS.

— Скрипт формирует отчет о безопасности с рекомендациями по устранению потенциальных уязвимостей.

Тестовые случаи, охватываемые сценарием, включают записи SPF, записи DMARC, общедоступную страницу администратора, список каталогов, отсутствующие заголовки безопасности, небезопасные настройки файлов cookie, раскрытие информации, неправильные конфигурации совместного использования ресурсов и многое другое…

Важно отметить, что сценарий может не охватывать все возможные сценарии безопасности, но охватывает самые популярные.

🗣 Ссылка на GitHub

#Web #Tools #HTTP #DNS | 💀 Этичный хакер

😈 Инъекция команд в Google Cloud Shell

В этой статье рассмотрим простую уязвимость, позволяющая выполнять произвольный код и получить реверс шелл на одном из сервисов гугла.

➖ https://telegra.ph/Inekciya-komand-v-Google-Cloud-Shell-12-10

#Injection | 💀 Этичный хакер

😈 Киберразведка — это просто, и чем она отличается от «пробива», OSINT и HUMINT

На этом докладе спикер Дмитрий Махаев руководитель киберразвердки РТК-Солар расскажет как сейчас получают данные о готовящихся и прошедших атаках.

#OSINT #HUMINT | 💀 Этичный хакер

😈 MalwareBazaar - база образцов вредоносного ПО

В базе вы найдете широкий выбор малварных образцов для исследований и анализа.

Можно использовать удобную форму поиска, чтобы находить образцы по хэшу (MD5, SHA256, SHA1), импорт-хэшу (imphash), хэшу TLSh, сигнатуре ClamAV, тегу или семейству вредоносного ПО.

⏺ Ссылка на источник

#Cybersecurity #Malware | 💀 Этичный хакер

💬 Руководство: Cyber Security Expert + API Security Best Practices

Пошаговое руководство, как стать экспертом по кибербезопасности в 2023 году:

💬 Ссылка на Roadmap

Подробный список лучших практик для обеспечения
безопасности ваших API:

💬 Ссылка на Roadmap

#Cybersecurity #infosec #API

😈 ТОП-10 плагинов для OWASP ZAP

💬 Access Control Testing: Позволяет проводить тестирование контроля доступа и выявлять потенциальные проблемы с контролем доступа.

💬 Advanced SQLInjection Add-on: Инструмент активного сканирования для обнаружения SQLi (на основе SQLMap).

💬 Attack Surface Detector: Плагин помогает выявить конечные точки веб-приложения, параметры, которые принимают эти конечные точки, и тип данных этих параметров.

💬 DOM XSS Active Scan Rule: Активный сканер для обнаружения уязвимостей DOM XSS.

💬 Directory List v2.3: Предоставляет файлы с именами каталогов для брутфорса или фаззинга.

💬 Eval Villain: Расширение для ZAP и Firefox, которое будет подключаться к опасным функциям, таким как eval, и предупреждать вас об их использовании.

💬 GraphQL Support: Плагин для получения структуры и запросов GraphQL.

💬 Out-of-band Application Security Testing Support: Сервер OAST для обнаружения внешних и слепых уязвимостей. Аналог Burp Collaborator, только для ZAP.

💬 HUNT v2: Выполняет пассивное сканирование на наличие потенциально уязвимых параметров.

💬 Community-scripts: Большая коллекция скриптов ZAP предоставленная комьюнити

#Web #Recon #OWASP #Tools | 💀 Этичный хакер

⚫ OWASP Top 10 Web Application Risks

Уязвимость веб-приложения - это слабое место в системе безопасности программного обеспечения, работающего в веб-браузерах. Веб-доступ делает приложения высокодоступными, но также подвергает их многочисленным атакам.

— Вот топ-10 уязвимостей, включенных в список:

1. Нарушенный контроль доступа
2. Уязвимость к криптографическим атакам
3. Инъекция
4. Небезопасный дизайн
5. Неверная конфигурация безопасности
6. Уязвимые и устаревшие компоненты
7. Ошибки идентификации и аутентификации
8. Нарушения целостности программного обеспечения и данных
9. Сбои регистрации и мониторинга безопасности
10. Подделка запросов на стороне сервера (SSRF)

#OWASP #Web #infosec | 💀 Этичный хакер

🗣Книга: Unix и Linux: руководство системного администратора

Это современное и полное руководство по инсталляции, настройке и обслуживанию любой системы на основе FreeBSD или Linux, включая системы, предоставляющие базовую инфраструктуру Интернета и облачную инфраструктуру. Обновленное с учетом новых дистрибутивов и облачных сред, это всестороннее руководство охватывает лучшие практики для всех аспектов системного администрирования, включая управление хранением данных.

⏺ Скачать: здесь

#books #Linux | 💀 Этичный хакер