Acunetix. Жалпы шолу. Acunetix деген не?

Acunetix - веб-қосымшалардың қауіпсіздігін тексеру процесін автоматтандыратын веб-осалдық (Vulnerability Scanner) сканері. Қолданбаны SQL инъекцияларына, XSS, XSS, CSRF және басқа да көптеген веб-осалдықтарға тексереді. Алайда, кез-келген басқа веб-осалдықтар сканері сияқты, пентестерді алмастыра алмайды, өйткені логикадағы күрделі осалдықты немесе осалдықтар тізбегін таба алмайды. Бірақ ол көптеген түрлі осалдықтарды, соның ішінде пентестер ұмытып кетуі мүмкін әртүрлі CVE-лерді қамтиды, сондықтан күнделікті тексерулерге қолдануға өте ыңғайлы.

Мықты жақтары:
• Жалған тауып алулардың (ложное срабатывание) төмен деңгейі;
• Нәтижелерді есептер (HTML/PDF) түрінде экспорттауға болады;
• Әртүрлі осалдықтарға көптеген тексерулер жүргізеді;
• Бірнеше хосттарды параллель сканерлеу.

Осал жақтары:
• Көшірме алгоритмі жоқ (acunetix функционалдығы бойынша бірдей беттерді әр түрлі деп санайды, өйткені оларда әр түрлі URL мекен-жайлары бар), бірақ әзірлеушілер бұны шешуде;
• Жеке веб-серверге орнатуды қажет етеді, бұл VPN байланысы бар клиенттік жүйелерді тексеруді және сканерді жергілікті клиенттік желінің оқшауланған сегментінде пайдалануды қиындатады;
• Зерттелетін қызметте "шу шығаруы" мүмкін, мысалы, сайттағы байланыс формасына тым көп шабуыл векторларын жіберіп, осылайша бизнес-процестерді қиындатады;
• Бұл меншікті және сәйкесінше тегін шешім емес.

Иә, иә, Acunetix тегін зат емес, бағдарламаның жай версиясы $4500, ал премиумі - $26500-ге дейін тұруы мүмкін.

Сонымен, осы Acunetix туралы жалпы түсінік. Келесі ретте Acunetix-ті тереңірек зерттейтін боламыз.
Киберқауіпсіздік туралы посттар ұнап жатса, репост, және көбірек реакция жинайық 😄. Алдыда әлі тағы посттар шығарамыз.

#acunetix / #киберқауіпсіздік
———
@kz_tech
@kztech_chat

Так, оқырмандарға бір сұрағым бар еді. Негізі киберқауіпсіздікке қатысы жоқ, SmartTV темасы ғой.
Киберқауіпсіздік бойынша келесі пост қазір дайындалуда, оны уайымдамаңыз)

Мен өзіме SmartTV проектор алған едім, бір апта бұрын. Барлығы мықты істейді, бірақ тек YouTube көруге ғана қолданамын. Негізі аниме көрейін дегенмін, бірақ Crunchyroll-ға айына 2500₸ немесе жылына 25000₸ төлегім кеп жүрген жоқ.

Анимені чисто жапон тілінде көремін, ағылшын тіліндегі субтитрлерін қосып қойып.

Анимелердің барлығы қазір телефонымда сақталып тұр, VLC арқылы көретінмін (.mkv файлдар, субтитрлері бар). Сол енді экранды трансляциялау арқылы проекторға қоссам, тек видео шығады да, субтитрлер шықпайды екен. Субтитрлерді трансляциялауға болмайды дейді.

Негізі сондай плеерлер бар ма субтитрді трансляциялай алатын? Бар болса сілтеме беріп қойыңыздаршы 😄. Былай негізгі таза жапонша да көре бере аламын, бірақ жартысын түсініп, жартысын түсінбей қаламын сөздерінің.

Немесе қандай SmartTV-ге арналған браузеге кеңес бересіз? Puffin Browser дейтіні GogoAnime-ден тормозить етіп видеоны әрең қосады.

Әлде флешкаға сақтап, проекторге жалғап көре берген артық па?

Сіздің ойларыңыз? Пікірлерге жазып кете беріңіздер.

Қызық болса, дәл қазір DanMachi көріп жатырмын)

#smarttv / #плеерлер / #видео
———
@kz_tech
@kztech_chat

Білмеппін, бірақ менде ноутбугімде Acunetix бар екен (Активацияланған нұсқасы, жұмыс істейді)

Ал енді онымен жұмыс жасап видео да түсіруге болады. Бұған қоса тереңірек зерттеуге де көбірек мүмкіндіктер туындап тұр ғой, ә? 🔥

#acunetix / #киберқауіпсіздік
———
@kz_tech
@kztech_chat

#OSINT бойынша шағын туториал анонсы

Түнгі 02.00-лерге қарай арнада Google аккаунтті телефон нөмір арқылы табу және де GAIA арқылы (егер мүмкіндік болса) геолокацияны табу туралы туториал жарияланатын болады.

#OSINT / #туториал
———
@kz_tech
@kztech_chat

Python тілінде IP трекер жасау.
OSINT бойынша тағы бір кішігірім туториал.

Барлық керек модульдер - json, ақпаратпен жұмыс істеу үшін, және де urllib, онымен HTTP запростарды жіберіп, қабылдап, өңдеп отыруға болады.

#OSINT / #python
———
@kz_tech
@kztech_chat

Соңғы екі күнде посттар мүлде шықпады. Оның себебі - ұйқы жетіспеушілгі ғой.

Екі күн қатарынан түннің бір уақытына дейін отырып, проекттерді тезірек аяқтауға тырыстым. Ол былай тұрсын, жұмыс жасағаннан кейін ұйқы келмегендіктен таңға шейін отырасың ғой, теледидар көріп, "қазір кішкене көрсем, ұйықтап қаламын" деген оймен 😅.

Бірақ мен тағы да кейбір ақпарат жинап алдым, киберқауіпсіздік бойынша да, және бірқатар басқа тақырыптар туралы. Бүгін енді оларды қазақшаға аударып, жаңа посттар шығарамын.

Негізі айтарым сол, одан да бірден ұйқыға кету керек. Ұйқы жетіспеушілгі аккумулятивті түрде жұмыс істейді, және де жүректі ауырта бастайды.

#түсіндірме
———
@kz_tech
@kztech_chat

​​MIT-тен 5 тегін курс - әлемдегі ең мықты университеттердің бірі

> Introduction to Computer Science and Programming Using Python
https://www.edx.org/course/introduction-to-computer-science-and-programming-7

Курс информатика немесе бағдарламалаумен таныс емес адамдарға арналған. Оның мақсаты -студенттерге бағдарламалау мен Python тіліне кіріспе беру. Оқытушылар - өз ісінің үздік мамандары. 

> Entrepreneurship 101
https://www.edx.org/course/entrepreneurship-101-who-is-your-customer

Кәсіпкерлікпен айналысқысы келетіндерге арналған курс. Мұнда сізге идеяны бизнестен не ерекшелендіретіні айтылады. Сабақтарда нарықты сегменттеу, аудиторияны анықтау және стратегиялық процестер талқыланады. 

> World Music: Global Rhythms
https://www.edx.org/course/world-music-global-rhythms

Музыка және оның ритмі туралы білуіңіз керек барлық нәрсе. Егер сіз өнердің осы саласына қызығушылық танытсаңыз, әлемнің түкпір-түкпірінен келген оқытушылар жақсы жүргізетін сабақтарды қарауыңыз керек. Сіз теорияны да үйренесіз және өз біліміңізді іс жүзінде сынап көресіз. 

> Just Money 
https://www.edx.org/course/just-money-banking-as-if-society-mattered

Мұнда сізге банк жүйесі, қаржы ағындары және әлемдік капитал қалай жұмыс істейтіні туралы айтылады. Егер сіз қаржылық сауаттылық және жеке қаражатты көбейту туралы көбірек білгіңіз келсе, осы курс қолайлы. 

> A Global History of Architecture
https://www.edx.org/course/a-global-history-of-architecture-2

Курс сәулет мамандықтарының студенттері үшін де, қоршаған әлемге қызығушылық танытқандар үшін де қызықты болады. Мұнда олар қызықты фактілер мен ғимараттар құрылысының әлемге тигізетін әсері туралы айтады. 

#курстар / #тегін / #MIT
———
@kz_tech
@kztech_chat

Айтпақшы, Burp Suite туралы постты бітірейін деп қалдым. Осы түнде салатын боламын 😉

#анонс
———
@kz_tech
@kztech_chat

Burp Suite негізгі компоненттері

Пакет утилиталар жиынтығынан тұрады, олардың арасында ақпаратты жинауға және талдауға, шабуылдардың әртүрлі түрлерін модельдеуге, сервердің сұраулары мен жауаптарын ұстауға және т.б.

Target - тексерілетін қолданба туралы толық ақпараты бар сайт картасын жасайды. Тестілеу процесінде қандай мақсаттар бар екенін көрсетеді және осалдықтарды анықтау процесін басқаруға мүмкіндік береді.

Proxy - пайдаланушы браузері мен тексерілген веб-қосымшаның арасында орналасқан. HTTP(S) протоколы арқылы жіберілген барлық хабарларды ұстайды.

Spider - веб-қосымшаның мүмкіндіктері мен компоненттері туралы деректерді автоматты түрде жинайды.

Clickbandit - қолданба бетінің үстіне шабуылдаушылар дайындаған көрінбейтін бет жүктелетін басу шабуылдарын (clickjacking attacks) модельдейді.

DOM Invader - веб-қосымшаны DOM-based сайтаралық сценарийге (құжаттың Объектілік моделіне негізделген), параққа зиянды кодты енгізудің осалдығына тексереді.

Scanner (тек Proffesional/Enterpise-да) - веб-қосымшалардағы осалдықтарды автоматты түрде сканерлейді. Тегін нұсқада да бар, бірақ тек мүмкіндіктердің сипаттамасын береді.

Intruder - түрлі автоматты шабуылдарды жасайды. Ашық веб-директрияларды ақтарудан бастап, SQL инъекцияларға дейін.

Repeater - жеке HTTP сұрауларын қолмен басқаруға және қайта шығаруға және қосымшаның жауаптарын талдауға арналған утилита. Сіз кез-келген басқа Burp Suite утилитасынан Repeater-ге сұрау жібере аласыз.

Sequencer - деректер элементтерін іріктеудегі кездейсоқтықтың сапасын талдайды. Қолданбаның сеанстық маркерлерін немесе алдын-ала болжанбайтын басқа маңызды деректер элементтерін, мысалы, CSRF-ке қарсы маркерлерді, парольді қалпына келтіру маркерлерін және т.б. сынау үшін пайдалануға болады.

Decoder - кодталған деректерді бастапқы пішінге немесе өңделменген ақпаратты әртүрлі кодталған және хэштелген пішіндерге түрлендіреді. Эвристикалық әдістерді қолдана отырып, бірнеше кодтау форматтарын тануға қабілетті.

Comparer - деректер айырмашылықтарын визуалды салыстыру функциясын ұсынады. Салыстыруға келесі заттарды болады:
- Жарамды және жарамсыз пайдаланушы аттарын пайдаланып сәтсіз кірулерге жауаптар;
- Шабуылдаушылардың шабуылынан алынған бірнеше өте үлкен жауаптарды (базалық жауап көлемінен үлкен);
- Әр түрлі пайдаланушылар жасаған прокси тарих жазбалары және т.б.

Extender - қосымша плагиндер арқылы пакеттің функционалдығын кеңейтуге мүмкіндік береді. Кеңейтімдерді жүктеу және басқару, сондай-ақ плагин параметрлерін реттеу опцияларын ұсынады. Арнайы кеңейтімдер, мысалы, HTTP сұраулары мен жауаптарын өзгертуге, пайдаланушы интерфейсін конфигурациялауға, реттелетін сканер тексерулерін қосуға және жұмыс уақытында негізгі ақпаратқа қол жеткізуге көмектеседі. Кеңейтімдер ресми BApp дүкенінде қол жетімді.

#BurpSuite / #шолу / #киберқауіпсіздік
— — —
@kz_tech
@kztech_chat

2023-жі жылдың символын Stable Diffusion нейрожелісі салып берді

#ЖИ / #нейрожелі
———
@kz_tech
@kztech_chat

Бұл құрылғы BIOS және UEFI құпиясөздерін бұзып, жояды. Apple Mac (2011-2017) құпиясөз шабуылдарын жасай алады.

Нәтиже - 10-15с ішінде бұзылған BIOS/EFI құпиясөздері. Мощный зат екен мынау.

https://alii.pub/6kcupy
Бағасы да ұрып тұр хотя.

#құрылғылар / #хакинг
———
@kz_tech
@kztech_chat