Forwarded from ИБ Книга | Библиотека ИБ
⚡️SpiderFoot - автоматизированный процесс сбора информации о заданной цели
Сегодня мы расскажем, про инструмент автоматизации проведения OSINT. Он интегрируется со многими доступными источниками данных и использует ряд методов анализа данных, что упрощает навигацию по этим данным. SpiderFoot не совсем консольный инструмент т.к. имеет встроенный веб-сервер с интуитивно понятным веб-интерфейсом.
Подробнее: тут
Сегодня мы расскажем, про инструмент автоматизации проведения OSINT. Он интегрируется со многими доступными источниками данных и использует ряд методов анализа данных, что упрощает навигацию по этим данным. SpiderFoot не совсем консольный инструмент т.к. имеет встроенный веб-сервер с интуитивно понятным веб-интерфейсом.
Подробнее: тут
Telegraph
SpiderFoot - автоматизированный процесс сбора информации о заданной цели
SpiderFoot — это инструмент с открытым исходным кодом для автоматизированной разведки. Его цель — автоматизировать процесс сбора информации о заданной цели.Есть три главных сферы, где может быть полезен SpiderFoot: Если вы тестер на проникновение, SpiderFoot…
Forwarded from ИБ Книга | Библиотека ИБ
🔥Тестирование на XSS и другие уязвимости c помощью OWASP ZAP
Сегодня мы рассмотрим инструмент OWASP ZAP для тестирования на проникновение приложения, а также для поиска уязвимостей в web-приложениях.
Подробнее: тут
Сегодня мы рассмотрим инструмент OWASP ZAP для тестирования на проникновение приложения, а также для поиска уязвимостей в web-приложениях.
Подробнее: тут
Telegraph
ва
ва
Forwarded from ИБ Книга | Библиотека ИБ
🔥JavaScript - деобфускация
Сегодня мы расскажем, о том что такое обфускация кода и его обратный процесс - деобфускация.
Подробнее: тут
Сегодня мы расскажем, о том что такое обфускация кода и его обратный процесс - деобфускация.
Подробнее: тут
Telegraph
JavaScript - деобфускация
Что такое обфускация Обфускация — это изменение исходного кода таким образом, чтобы он становился трудно понимаемым, но чтобы при этом не изменялась его функциональность. Обфускация применяется для исходного кода на интерпретируемых (а не компилируемых) языках…
Forwarded from itsecforu (Информационная безопасность)
🕵️♂️ Обзор инструментов фаззинга для проверки веб-приложений
В этой статье мы узнаем о 5 удивительных инструментах, которые могут быть использованы для целей фаззинга пентестерами веб-приложений.
Читать
В этой статье мы узнаем о 5 удивительных инструментах, которые могут быть использованы для целей фаззинга пентестерами веб-приложений.
Читать
Forwarded from SHADOW:Group
📄 Создание списка слов из истории BurpSuite
Если вы хотите создать специальный список слов, адаптированный под вашу конкретную цель, то в BurpSuite это можно сделать с помощью расширения Scavenger.
Расширение просматривает историю BurpSuite и выделяет слова, специфичные для вашей цели.
Пример использования данного инструмента в реальной практике можно найти по данной ссылке.
Ссылка на GitHub
#web #burp #recon
Если вы хотите создать специальный список слов, адаптированный под вашу конкретную цель, то в BurpSuite это можно сделать с помощью расширения Scavenger.
Расширение просматривает историю BurpSuite и выделяет слова, специфичные для вашей цели.
Пример использования данного инструмента в реальной практике можно найти по данной ссылке.
Ссылка на GitHub
#web #burp #recon
Forwarded from @Leakinfo
HTB Previse. Раскручиваем кривой редирект до полного захвата сайта
https://telegra.ph/HTB-Previse-Raskruchivaem-krivoj-redirekt-do-polnogo-zahvata-sajta-01-17
#infosec #pentesting #иб #django #htb #Previse
https://telegra.ph/HTB-Previse-Raskruchivaem-krivoj-redirekt-do-polnogo-zahvata-sajta-01-17
#infosec #pentesting #иб #django #htb #Previse
Telegraph
HTB Previse. Раскручиваем кривой редирект до полного захвата сайта
Сегодня на примере легкой машины с площадки Hack The Box я покажу вполне типичный процесс захвата веб‑сервера. Начнем с неправильно настроенного редиректа, получим доступ к закрытым страницам, а точку опоры найдем через форму получения…
Forwarded from Хакер | Этичный хакинг с Михаилом Тарасовым (Timcore)
Name: Bug Bounty Playbook
Author: Alex Thomas
Year: 2019
Do you like hacking ? Do you like security ? Do you want to make a living doing what you love? Do you want to find vulnerabilities and get paid to do so? If you answered YES to any of these questions then this book is for you. The sole purpose of this book is to teach you the skills needed to successfuly make a living hunting for vulnerabilities and bugs.
The book is divided up by the phases of the bug bounty hunting process. I go over everything like how I pick the best programs to hunt on, how I take notes, how I find targets, how I exploit targets and a lot more.
Скачать.
Author: Alex Thomas
Year: 2019
Do you like hacking ? Do you like security ? Do you want to make a living doing what you love? Do you want to find vulnerabilities and get paid to do so? If you answered YES to any of these questions then this book is for you. The sole purpose of this book is to teach you the skills needed to successfuly make a living hunting for vulnerabilities and bugs.
The book is divided up by the phases of the bug bounty hunting process. I go over everything like how I pick the best programs to hunt on, how I take notes, how I find targets, how I exploit targets and a lot more.
Скачать.
Forwarded from Geek girl 👩💻
💥💥 Bug bounty guide 💥💥
📍Identification and reporting of bugs and vulns in a responsible way.
📍All depends on interest and hardwork, not on degree, age, branch, college, etc.
🎑 What to study?
1. Internet, HTTP, TCP/IP
2. Networking
3. Command line
4. Linux
5. Web technologies, javanoscript, php, java
6. Atleast 1 prog language (Python/C/JAVA/Ruby..)
🎑 Choose your path (imp)
1. Web pentesting
2. Mobile pentesting
3. Desktop apps
🎑 Resources
1. Books
For web
1. Web app hackers handbook
2. Web hacking 101
3. Hacker's playbook 1,2,3
4. Hacking art of exploitation
5. Mastering modern web pen testing
6. OWASP Testing guide
For mobile
1. Mobile application hacker's handbook
🎑 Youtube channels
1. Hacking
1. Live Overflow
2. Hackersploit
3. Bugcrowd
4. Hak5
5. Hackerone
Programming
1. thenewboston
2. codeacademy
🎑 Writeups, Articles, blogs
1. Medium (infosec writeups)
2. Hackerone public reports
3. owasp.org
4. Portswigger
5. Reddit (Netsec)
6. DEFCON conference videos
7. Forums
🎑 Practice (imp)
Tools
1. Burpsuite
2. nmap
3. dirbuster
4. sublist3r
5. Netcat
🎑 Testing labs
1. DVWA
2. bWAPP
3. Vulnhub
4. Metasploitable
5. CTF365
6. Hack the box
🎑 Start!
Select a platform
1. Hackerone
2. Bugcrowd
3. Open bug bounty
4. Zerocopter
5. Antihack
6. Synack (private)
1. Choose wisely (first not for bounty)
2. Select a bug for hunt
3. Exhaustive search
4. Not straightforward always
REPORT:
5. Create a denoscriptive report
6. Follow responsible disclosure
7. Create POC and steps to reproduce
🎑 Words of wisdom
1. PATIENCE IS THE KEY, takes years to master, don't fall for overnight success
2. Do not expect someone will spoon feed you everything.
3. Confidence
4. Not always for bounty
5. Learn a lot
6. Won't find at the beginning, don't lose hope
7. Stay focused
8. Depend on yourself
9. Stay updated with infosec world
●▬۩❁ @geeekgirls ❁۩▬●
📍Identification and reporting of bugs and vulns in a responsible way.
📍All depends on interest and hardwork, not on degree, age, branch, college, etc.
🎑 What to study?
1. Internet, HTTP, TCP/IP
2. Networking
3. Command line
4. Linux
5. Web technologies, javanoscript, php, java
6. Atleast 1 prog language (Python/C/JAVA/Ruby..)
🎑 Choose your path (imp)
1. Web pentesting
2. Mobile pentesting
3. Desktop apps
🎑 Resources
1. Books
For web
1. Web app hackers handbook
2. Web hacking 101
3. Hacker's playbook 1,2,3
4. Hacking art of exploitation
5. Mastering modern web pen testing
6. OWASP Testing guide
For mobile
1. Mobile application hacker's handbook
🎑 Youtube channels
1. Hacking
1. Live Overflow
2. Hackersploit
3. Bugcrowd
4. Hak5
5. Hackerone
Programming
1. thenewboston
2. codeacademy
🎑 Writeups, Articles, blogs
1. Medium (infosec writeups)
2. Hackerone public reports
3. owasp.org
4. Portswigger
5. Reddit (Netsec)
6. DEFCON conference videos
7. Forums
🎑 Practice (imp)
Tools
1. Burpsuite
2. nmap
3. dirbuster
4. sublist3r
5. Netcat
🎑 Testing labs
1. DVWA
2. bWAPP
3. Vulnhub
4. Metasploitable
5. CTF365
6. Hack the box
🎑 Start!
Select a platform
1. Hackerone
2. Bugcrowd
3. Open bug bounty
4. Zerocopter
5. Antihack
6. Synack (private)
1. Choose wisely (first not for bounty)
2. Select a bug for hunt
3. Exhaustive search
4. Not straightforward always
REPORT:
5. Create a denoscriptive report
6. Follow responsible disclosure
7. Create POC and steps to reproduce
🎑 Words of wisdom
1. PATIENCE IS THE KEY, takes years to master, don't fall for overnight success
2. Do not expect someone will spoon feed you everything.
3. Confidence
4. Not always for bounty
5. Learn a lot
6. Won't find at the beginning, don't lose hope
7. Stay focused
8. Depend on yourself
9. Stay updated with infosec world
●▬۩❁ @geeekgirls ❁۩▬●
Forwarded from Хакер | Этичный хакинг с Михаилом Тарасовым (Timcore)
Name: Bug Bounty Automation With Python: The secrets of bug hunting.
Author: Syed Abuthahir
This book demonstrates the hands-on
automation using python for each topic mentioned in the table of contents.
This book gives you a basic idea of how to automate something to reduce the
repetitive tasks and perform automated ways of OSINT and
Reconnaissance.This book also gives you the overview of the python
programming in the python crash course section. This book is the first part of
bug bounty automation with python series.
Скачать.
Author: Syed Abuthahir
This book demonstrates the hands-on
automation using python for each topic mentioned in the table of contents.
This book gives you a basic idea of how to automate something to reduce the
repetitive tasks and perform automated ways of OSINT and
Reconnaissance.This book also gives you the overview of the python
programming in the python crash course section. This book is the first part of
bug bounty automation with python series.
Скачать.
Forwarded from Positive Events
Что делать в праздничные дни? Просто отдыхать и смотреть сериалы — скучно 🥱 Другое дело — совместить приятное с полезным и посвятить свободное время любимой сфере.
Именно поэтому наш эксперт Ярослав Бабин, руководитель отдела анализа защищенности приложений PT SWARM, подготовил для вас подборку материалов о практической безопасности, уязвимостях и атаках на веб-приложения.
В Positive Technologies Ярослав занимается аудитом финансовых и веб-приложений, а также АТМ (анализом защищенности банкоматов) и OSINT (разведкой по открытым источникам). Специализируется на изучении методов социальной инженерии, знает все о проблемах и уязвимостях онлайн-банков. Отмечен в залах славы Adobe, Яндекс, Mail.Ru и других известных компаний как ведущий исследователь. Один из организаторов кибербитвы The Standoff и форума по практической безопасности Positive Hack Days. В прошлом — багхантер в Яндекс, Mail.Ru, Mozilla и участник CTF-команды Antichat.
Читайте, слушайте, развивайтесь!
📝 Форумы и блоги: The SQL Injection Knowledge Base, RDot, ANTICHAT, CTF.Antichat, WebSec, Reverse Engineering
🔉 Полезные подкасты про OSINT и практическую безопасность: The Privacy, Security, and OSINT Show, Hack me, если сможешь, Мимокрокодил
📖 Книга месяца: Dafydd Stuttard. Marcus Pinto. The Web Application. Hacker's Handbook
🥼 Курсы и лабы по веб-безопасности: Hacker101, WebSecurityAcademy, PEN-200, Hack The Box, Root Me
📚 Руководства по тестированию: OWASP Mobile Security Testing Guide, OWASP Web Security Testing Guide
🕸 Полезные Telegram-каналы: Кавычка, YAH
🐦 За кем следить в Twitter: Timur Yunusov, James Kettle, PT SWARM, Nicolas Grégoire, Orange Tsai, LiveOverflow, wvu, Sergey Bobrov, James Forshaw, Frans Rosén, rvrsh3ll, Ben Hawkes, Maxim Goryachy, Michael Stepankin
👥 Встречи с единомышленниками: 2600, группы по DEFCON в Москве и других городах
Именно поэтому наш эксперт Ярослав Бабин, руководитель отдела анализа защищенности приложений PT SWARM, подготовил для вас подборку материалов о практической безопасности, уязвимостях и атаках на веб-приложения.
В Positive Technologies Ярослав занимается аудитом финансовых и веб-приложений, а также АТМ (анализом защищенности банкоматов) и OSINT (разведкой по открытым источникам). Специализируется на изучении методов социальной инженерии, знает все о проблемах и уязвимостях онлайн-банков. Отмечен в залах славы Adobe, Яндекс, Mail.Ru и других известных компаний как ведущий исследователь. Один из организаторов кибербитвы The Standoff и форума по практической безопасности Positive Hack Days. В прошлом — багхантер в Яндекс, Mail.Ru, Mozilla и участник CTF-команды Antichat.
Читайте, слушайте, развивайтесь!
📝 Форумы и блоги: The SQL Injection Knowledge Base, RDot, ANTICHAT, CTF.Antichat, WebSec, Reverse Engineering
🔉 Полезные подкасты про OSINT и практическую безопасность: The Privacy, Security, and OSINT Show, Hack me, если сможешь, Мимокрокодил
📖 Книга месяца: Dafydd Stuttard. Marcus Pinto. The Web Application. Hacker's Handbook
🥼 Курсы и лабы по веб-безопасности: Hacker101, WebSecurityAcademy, PEN-200, Hack The Box, Root Me
📚 Руководства по тестированию: OWASP Mobile Security Testing Guide, OWASP Web Security Testing Guide
🕸 Полезные Telegram-каналы: Кавычка, YAH
🐦 За кем следить в Twitter: Timur Yunusov, James Kettle, PT SWARM, Nicolas Grégoire, Orange Tsai, LiveOverflow, wvu, Sergey Bobrov, James Forshaw, Frans Rosén, rvrsh3ll, Ben Hawkes, Maxim Goryachy, Michael Stepankin
👥 Встречи с единомышленниками: 2600, группы по DEFCON в Москве и других городах
Forwarded from GitTools
Awesome list of secrets in environment variables
Коллекция секретов (паролей, ключей API и токенов), которые обычно хранятся в переменных среды.
https://github.com/Puliczek/awesome-list-of-secrets-in-environment-variables
#infosec #pentesting #soft #api #password #tokens
Коллекция секретов (паролей, ключей API и токенов), которые обычно хранятся в переменных среды.
https://github.com/Puliczek/awesome-list-of-secrets-in-environment-variables
#infosec #pentesting #soft #api #password #tokens
Forwarded from Codeby
Скрипт-кидди под ударом
Привет, форумчане! С Новым годом всех! В конце прошлого года, до того, как наш Казахстан начали громить и изолировали нас от интернета, наткнулся на интереснейший метод "обмана уязвимых слоев хакерского сообщества" - Скрипт-кидди (Script kiddie), о чем попробую сегодня Вам поведать.
📌 Читать статью: https://codeby.net/threads/skript-kiddi-pod-udarom.79298/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#vpn #injection
Привет, форумчане! С Новым годом всех! В конце прошлого года, до того, как наш Казахстан начали громить и изолировали нас от интернета, наткнулся на интереснейший метод "обмана уязвимых слоев хакерского сообщества" - Скрипт-кидди (Script kiddie), о чем попробую сегодня Вам поведать.
📌 Читать статью: https://codeby.net/threads/skript-kiddi-pod-udarom.79298/
📝 Школа Кодебай |🍿Наш ютуб |👾 Наш дискорд
#vpn #injection