📱 Курс: Тестирование на проникновение сайта

Автор: Zaid Sabih

Комплексный курс по взлому веб-сайтов и веб-приложений, в русской озвучке! Материал подойдёт как для специалистов, так и для начинающих, которые лишь начинают свой путь в тестировании на проникновение и хакинге.

Смотреть — Yandex Disk

💸 Telepathy - инструмент анализа Telegram-чатов

Набор инструментов для OSINT, позволяющий исследовать Telegram-чаты.

Швейцарский нож Telegram, который позволяет анализировать и архивировать Telegram-чаты (включая ответы, медиаконтент, комментарии и реакции), собирать списки участников, находить пользователей по местоположению, анализировать топ-постеров в чате, картографировать пересылаемые сообщения и многое другое.

⏺ Ссылка на GitHub

#OSINT #infosec

🔠 FacilMap - онлайн карты без какой либо слежки

Безопасная для конфиденциальности универсальная онлайн-карта с открытым исходным кодом, которая сочетает в себе различные сервисы на основе OpenStreetMap и позволяет легко находить места, планировать маршруты и создавать собственные карты с маркерами, линиями и маршрутами.

💬 Различные стили карты для дорог, топографии, езды на велосипеде, пешеходного туризма, общественного транспорта, водной навигации...
💬 Поиск мест и отображение информации о них (веб-сайт, часы работы, ...)
💬 Рассчитывайте маршруты и корректируйте их перетаскиванием. Можно показать профиль высоты.
💬 Удобный для смартфона интерфейс.
💬 Создавайте и делитесь пользовательскими картами с маркерами, линиями и маршрутами на них.
и многое многое другое....

⏺ Ссылка на GitHub

⏺ Ссылка на оф.сайт

#privacy #infosec

🔵 SerpBear - OSINT аналитика

Приложение для отслеживания позиций в поисковых системах с открытым исходным кодом.

Инструмент помогает например отслеживать позиции ключевых слов вашего сайта в Google и получать уведомления об изменения ранжирования.

⏺ Ссылка на GitHub

⏺ Ссылка на документацию

#osint #infosec #seo

😡 DeepPrivacy2 - инструмент анонимизации изображений

Набор инструментов для реалистичной анонимизации изображений, включая анонимайзер лица и всего тела.

DeepPrivacy2 обнаруживает и анонимизирует людей с помощью трех нейросетей.

Первая выделяет лица на изображениях, вторая весь силуэт человека, третья генерирует новые лица и силуэты. Затем происходит замена реальных людей, на сгенерированных, для анонимизации фото не изменяя контекст.

⏺ Ссылка на GitHub

#infosec #privacy

✈️ Enola Holmes - CLI инструмент

Это улучшенная сестра утилиты Sherlock и современный инструмент CLI, написанный с помощью Golang, чтобы помочь вам выслеживать учетные записи социальных сетей по имени пользователя в социальных сетях.

⏺ Ссылка на GitHub

#osint #infosec

⌨️ Privaxy - инструмент для блокирования рекламы и кода отслеживания перемещений между сайтами.

Метод работы Privaxy сводится к развёртыванию промежуточного фильтра между пользователем и сайтами, используя подмену TLS-сертификатов для перехвата содержимого шифрованных HTTPS-сеансов и скрытия предупреждения о вклинивании в канал связи (MITM).

Реализация блокировщика в форме отдельного прокси-сервера даёт возможность использовать его в качестве универсального решения, позволяющего фильтровать обращения не только из web-браузеров.

Прокси также не зависит от ограничений браузеров, например, накладываемых третьей версией манифеста Chrome, и обеспечивает более высокую производительность и низкие требования к ресурсам.

⏺ Ссылка на GitHub

#privacy #infosec #proxy

👩‍💻 monocles browser — Веб-браузер для Android, ориентированный на конфиденциальность.

💬 В настройках по умолчанию Javascript и файлы cookie отключены для обеспечения максимально возможной безопасности.(включается опционально)
💬 Поддержка прокси-сервера Tor Orbot.
💬 Интегрированная блокировка рекламы EasyList.
💬 Закрепление сертификата SSL.
💬 Импорт/экспорт настроек и закладок.
💬 Метапоисковик https://monocles.de/ установлен по-умолчанию (утверждает, что не сохраняет ваш IP и запрос)

⏺ Ссылка на веб-браузер

⏺ Ссылка на проект

⏺ Ссылка на F-droid

#android #browser

👩‍💻 Databag — Самостоятельный федеративный легкий мессенджер для децентрализованной сети.

Примечательные особенности включают в себя:

💬 Идентификация на основе открытого и закрытого ключа (не
привязанная к какой-либо цепочке блоков или домену хостинга) Федеративный (учетные записи на разных узлах могут
взаимодействовать)
💬 Обсуждения на основе тем (сообщения организованы по
темам, а не по контактам)
💬 Легкий (сервер работает на Raspberry Pi Zero v1.3)
💬 Децентрализованный (прямая связь между приложением и узлом контакта)
💬 Низкая задержка (использование веб-сокетов для push-
событий, чтобы избежать опроса)
💬 Отзывчивый (хорошо отображается на телефоне, планшете и ПК)
💬 Неограниченное количество учетных записей на узел
(хостинг для всей вашей семьи)
💬 Мобильные оповещения (push-уведомления о новых контактах и сообщениях)

⏺ Ссылка на GitHub

Вы также можете протестировать проект здесь.

#communication #decentralized #web

⌨️ Учебный план для специалистов по ИБ

Практический учебный план, чтобы стать успешным инженером по кибербезопасности, основанный на таких ролях, как Pentest, AppSec, Cloud Security, DevSecOps и т.д. Включает бесплатные и платные ресурсы, инструменты и концепции.

⏺ Ссылка на GitHub

#Web #redteam

⚒ Инструмент: GAP (GetAllParam)

Расширений для BurpSuite, под названием GAP позволяет находить дополнительные эндпоинты и параметры для фаззинга, анализируя запросы и ответы от сайта, а также файлы JS.

Бывает очень полезно, когда ищешь дополнительную поверхность атаки или ошибки контроля доступа, особенно при пентесте API.

⏺ Ссылка на GitHub

#Web #Tools

✈️ CodeFormer — восстановление изображений в плохом качестве

Нейросетевая модель для восстановления размытых, поврежденных, не качественных фотографий лиц людей.

⏺ Ссылка на GitHub

⏺ Ссылка на Colab

⏺ Ссылка на Hugging Face

#face

☁️ aerc — Клиент электронной почты, который работает в вашем терминале.

💬 Редактирование электронных писем во встроенном терминале в стиле tmux, что позволяет вам проверять входящие электронные письма и ссылаться на другие темы, пока вы составляете свои ответы.
💬 Отображение электронных писем в формате HTML с помощью терминала
💬 Привязки клавиш в стиле Vim
💬 Поддержка нескольких учетных записей с поддержкой протоколов передачи IMAP, Maildir, SMTP и sendmail.
💬 Эффективное использование сети - aerc загружает только ту информацию, которая необходима для представления пользовательского интерфейса, что обеспечивает быструю работу и эффективное использование полосы пропускания.

⏺ Ссылка на sourcehut

⏺ Ссылка на оф. сайт

#email #terminal

😡 Секретная методология GitHub доркинга

1. Что вы делаете в первую очередь, когда выполняете GitHub Dorking? Вы находите страницу своей цели на Github.

2. В 50% случаев не найдете утечек на их главной странице GitHub, но есть ли другие страницы, на которых можно попробовать найти что-то?

Ответ - Да! Если вы перейдёте на GitHub своей цели и прокрутите вниз, то увидите вкладку «People». Это сотрудники, которые официально работают с вашей целью.

3. Теперь из вкладки «People» перейдите на страницу любого сотрудника. Всех сотрудников, упомянутых на вкладке «People» также можно проверить с помощью дорков Github для поиска конфиденциальной информации, относящейся к нашей цели. Таким образом, наша поверхность атаки становится значительно выше.

Однако помните, что у этих сотрудников есть иная деятельность, нежели работа на исследуемую вами компанию, а это значит, что некоторые конфиденциальные утечки могут относиться к другим проектам, а не к вашей цели.

4. Иногда вы не можете найти утечки по сотрудникам на вкладке «People», не волнуйтесь, есть еще кое-что, что поможет вам увеличить поверхность атаки!

Пробуем найти сотрудников извне. Например, с помощью дорка в гугл:

site:linkedin.com intext:"software engineer at название_компании"

Искать можно не только на LinkedIn. Думаю вы поняли основной принцип. Так вы найдете сотрудников, которые работают на вашу целевую компанию, но все еще не указаны на вкладке «People». Почему?

Может быть, потому что они должны храниться в секрете, и они публикуют конфиденциальные материалы... Никогда не угадаешь.

Теперь, когда вы нашли еще несколько сотрудников, нужно найти их страницы на Github. Обычно у всех разработчиков программного обеспечения есть страница на GitHub.

Чтобы найти ее, посмотрите в описание профиля или используйте этот гугл-дорк:

site:github.com intext:тут_ник_сотрудника

Или просто напишите в поиске:

github тут_ник_сотрудника

#GitHub #Dork

✏ Шпаргалка по эксплуатации SQL-инъекций различных типов

Содержит информацию о поиске точки входа, способах обнаружения уязвимости, обхода WAF и дампа содержимого базы данных для различных типов SQL инъекций.

⏺ Ссылка на GitHub

#GitHub #SQLi