Які атаки можна зробити на JWT токен
Багато хто знає про те, що таке JWT токен, але чи ти знаєш які вразливості можуть бути при не правильній реалізації в твоєму додатку? Чи перевіряєш ти на те, на скільки якісно реалізован цей механізм? В цій статі ти дізнаєшся про все це.
https://svyat.tech/jwt-token-attack
Багато хто знає про те, що таке JWT токен, але чи ти знаєш які вразливості можуть бути при не правильній реалізації в твоєму додатку? Чи перевіряєш ти на те, на скільки якісно реалізован цей механізм? В цій статі ти дізнаєшся про все це.
https://svyat.tech/jwt-token-attack
🔥21
MALWARE ANALYSIS
Напевно всі чули слово malware, але що це і як його аналізувати та які є практики та інструменти не всі знають, ось написав статейку про все це.
https://svyat.tech/basic-malware-analysis
Напевно всі чули слово malware, але що це і як його аналізувати та які є практики та інструменти не всі знають, ось написав статейку про все це.
https://svyat.tech/basic-malware-analysis
🔥8🥱1
Круте інтервʼю з Володимиром Стираном про кібербезпеку країни
https://www.youtube.com/watch?v=H3VBtRPvvE4&t=1
https://www.youtube.com/watch?v=H3VBtRPvvE4&t=1
YouTube
Влад Стиран про кібербезпеку, легендарних рускіх хакерів та домінування США
Ставайте спонсорами каналу – https://www.youtube.com/channel/UCKAWfbrt9PyDH7RAOr2M08g/join
І нарешті є бай мі е кофі, тільки ж обирайте мембершип – https://www.buymeacoffee.com/yt2channel
Або підписуйтесь на патреон – http://patreon.com/yt2
Влад Стиран …
І нарешті є бай мі е кофі, тільки ж обирайте мембершип – https://www.buymeacoffee.com/yt2channel
Або підписуйтесь на патреон – http://patreon.com/yt2
Влад Стиран …
🔥13
This media is not supported in your browser
VIEW IN TELEGRAM
Якщо ти не знаєш як відмовити замовнику, то цей туторіал тобі надасть 12 різних прикладів як це зробти. 😂
🤣44🤯1
Отже, опитування прошло успішно по тому на яку тему створити міні тренінг на 2 дні, і виграв варіант Business logic vulnerabilities взявши майже 31 відсоток. Тому за основу беру його а також додаю не велику темку і про GraphQL API vulnerabilities, яка зайняла третє місце набравши 15 відсотків, щоб точно було про що погворити два дні по дві години😏.
Чому не взяв в другу тему JWT токен, який набрав 25 відсотків, бо тоді буде на 3 дні тренінг, бо ця темка більше за граф. Ми її розглянему в наступному міні тренінгу + з маленькою ще темкою File upload vulnerabilities, який набрав 8 відсотків.🥲
📅Тренінг відбудеться 21 серпня та 24 серпня о 18
Ціна 1500 грн, з яких половина піде на потреби військових або постраждалих.
Записатися можна тут
https://svyat.tech/module-business-logic-vulnerabilities
Чому не взяв в другу тему JWT токен, який набрав 25 відсотків, бо тоді буде на 3 дні тренінг, бо ця темка більше за граф. Ми її розглянему в наступному міні тренінгу + з маленькою ще темкою File upload vulnerabilities, який набрав 8 відсотків.🥲
📅Тренінг відбудеться 21 серпня та 24 серпня о 18
Ціна 1500 грн, з яких половина піде на потреби військових або постраждалих.
Записатися можна тут
https://svyat.tech/module-business-logic-vulnerabilities
🥱1
570 ChatGPT Plugins
Плагіни як для розробки так і для навчання, так і для покупок іт. для ChatGPT
https://openworldai.com/plugins
Плагіни як для розробки так і для навчання, так і для покупок іт. для ChatGPT
https://openworldai.com/plugins
🔥2
Forwarded from QAMania (Mike Ch)
Єднання українських QA каналів
#community #collab #волонтерка
Привіт друзі.
Ми вирішили об'єднати зусилля з авторами інших каналів української QA спільноти.
QAMania, Hot Testing channel, QA Club Lviv, Комора тестувальника (QA Info), Test Engineering Notes, Попелюха, Security QA, Роман Якимчук, Нотатки суворого QA, Perforator club, DOU QA
Для початку - ни ниві волонтерства.
Хочемо спробувати сінхронізовувати важливі ініціативи на підставі пріорітетів та довіри один до одного.
Робитимемо це нечасто, але ймовірно регулярно, щоб фокусуватись наприклад на важливих зборах на потреби ЗСУ.
В подальшому віримо, що наша колаборація набере обертів й принесе багато корисного всій QA спільноті й на професійних напрямках.
Stay tuned!
#community #collab #волонтерка
Привіт друзі.
Ми вирішили об'єднати зусилля з авторами інших каналів української QA спільноти.
QAMania, Hot Testing channel, QA Club Lviv, Комора тестувальника (QA Info), Test Engineering Notes, Попелюха, Security QA, Роман Якимчук, Нотатки суворого QA, Perforator club, DOU QA
Для початку - ни ниві волонтерства.
Хочемо спробувати сінхронізовувати важливі ініціативи на підставі пріорітетів та довіри один до одного.
Робитимемо це нечасто, але ймовірно регулярно, щоб фокусуватись наприклад на важливих зборах на потреби ЗСУ.
В подальшому віримо, що наша колаборація набере обертів й принесе багато корисного всій QA спільноті й на професійних напрямках.
Stay tuned!
🔥38❤1
Випустили другий випуск «Гугл не розкаже» – про пошуки першої роботи в КБ ⏯️
Після невеликої паузи випускаємо другий випуск нашого подкасту. Випуск вийшов коротким та змістовним, експерткою виступила Ольга Насібуліна, кофаундерка CyberPeople та CyberHR. Якщо шукаєте роботу в сфері кібербезпеки, радимо звернути увагу на ці ресурси 😎
Також завели Монобанку для збору грошей на випуск подкасту. Якщо вам подобається те що ми робимо - долучайтеся: https://send.monobank.ua/jar/494vdNZbzC. З цих грошей будемо оплачувати роботу монтажеру та промо подкасту. В ідеалі - платити нашим експертам та експерткам. Вже плануємо другий сезон (і монтуємо третій випуск) 💪
Послухати новий випуск можна на:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/show/6ykZFpjnvTQrRvELCIDL5n
Після невеликої паузи випускаємо другий випуск нашого подкасту. Випуск вийшов коротким та змістовним, експерткою виступила Ольга Насібуліна, кофаундерка CyberPeople та CyberHR. Якщо шукаєте роботу в сфері кібербезпеки, радимо звернути увагу на ці ресурси 😎
Також завели Монобанку для збору грошей на випуск подкасту. Якщо вам подобається те що ми робимо - долучайтеся: https://send.monobank.ua/jar/494vdNZbzC. З цих грошей будемо оплачувати роботу монтажеру та промо подкасту. В ідеалі - платити нашим експертам та експерткам. Вже плануємо другий сезон (і монтуємо третій випуск) 💪
Послухати новий випуск можна на:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/show/6ykZFpjnvTQrRvELCIDL5n
🔥14
Добірка лабораторних робіт, для практики в пошуку таких то вразливостей
SQLi — Лінк
Oauth 2.0 — Лінк
GraphQL — Лінк
JWT Authentication — Лінк
SAML Authentication — Лінк
XSS — Лінк
SSRF — Лінк
XXE — Лінк
LFI — Лінк
CSRF — Лінк
Java deserialization — Лінк
HTTP-Smuggling — Лінк
Prototype Pollution — Лінк
WebSockets — Лінк
SSTI — Лінк
SQLi — Лінк
Oauth 2.0 — Лінк
GraphQL — Лінк
JWT Authentication — Лінк
SAML Authentication — Лінк
XSS — Лінк
SSRF — Лінк
XXE — Лінк
LFI — Лінк
CSRF — Лінк
Java deserialization — Лінк
HTTP-Smuggling — Лінк
Prototype Pollution — Лінк
WebSockets — Лінк
SSTI — Лінк
🔥48
This media is not supported in your browser
VIEW IN TELEGRAM
Замовнику дали макет сайта, подивитись чи все влаштовує, але замовник почав перевіряти на роботу і жалуватись що сайт не працює😂🥲
🤣41🥱1
Commix (COMMand Injection eXploiter)
Це інструмент із відкритим вихідним кодом для автоматизації виявлення та експлуатації вразливих елементів впровадження команди ОС.
Здатний використовувати різні техніки і обробляти фільтрацію засобів захисту, використовуючи тампер-скрипти. Це як SQLMap, але тільки для введення команди.
У скрині нижче, у вигляді прикладу, показано використання даного інструменту для виявлення та експлуатації вразливості встановленої команди ОС у GraphQL.
https://github.com/commixproject/commix
Це інструмент із відкритим вихідним кодом для автоматизації виявлення та експлуатації вразливих елементів впровадження команди ОС.
Здатний використовувати різні техніки і обробляти фільтрацію засобів захисту, використовуючи тампер-скрипти. Це як SQLMap, але тільки для введення команди.
У скрині нижче, у вигляді прикладу, показано використання даного інструменту для виявлення та експлуатації вразливості встановленої команди ОС у GraphQL.
https://github.com/commixproject/commix
🔥6🫡2🥱1
Посібник з особистої кібергігієни
Ця сторінка містить серію посібників з 10 розділів, якими ви можете скористатися, щоб захистити себе та забезпечити кібербезпеку своїх близьких.
З огляду на те, що кіберзлочинці знаходять нові способи нападу на людей в Інтернеті, важливо, щоб ви були впевнені щодо кроків, які ви можете вжити, щоб захистити себе та своїх близьких. Незалежно від того, чи хочете ви зрозуміти основи кібербезпеки чи хочете застосувати більш просунуті засоби захисту, ви можете виконати кілька простих кроків.
https://svyat.tech/personal-cyber-security
Ця сторінка містить серію посібників з 10 розділів, якими ви можете скористатися, щоб захистити себе та забезпечити кібербезпеку своїх близьких.
З огляду на те, що кіберзлочинці знаходять нові способи нападу на людей в Інтернеті, важливо, щоб ви були впевнені щодо кроків, які ви можете вжити, щоб захистити себе та своїх близьких. Незалежно від того, чи хочете ви зрозуміти основи кібербезпеки чи хочете застосувати більш просунуті засоби захисту, ви можете виконати кілька простих кроків.
https://svyat.tech/personal-cyber-security
🔥15🥱1
Випустили третій випуск «Гугл не розкаже» – Як світчнутися в кібербезпеку ⏯️
Випуск вийшов коротким та змістовним, як завжди, експертами на цій зустрічі були Назарій Завада, Penetration Test Engineer в EVO та Святослав Логін, Head of QA в EVO.
Якщо вам подобається наша робота над подкастом, нагадуємо, що в нас є банка для збору грошей на наступні випуски подкасту.
https://send.monobank.ua/jar/494vdNZbzC. З цих грошей будемо оплачувати роботу монтажеру та промо подкасту. 💪
Послухати новий випуск можна на:
👉 Apple Podcasts: http://surl.li/jyiop
👉 Google Podcasts: http://surl.li/jyipg
👉 Spotify: https://open.spotify.com/episode/0yMEGUBVygGS3rfpjdT2OK
Випуск вийшов коротким та змістовним, як завжди, експертами на цій зустрічі були Назарій Завада, Penetration Test Engineer в EVO та Святослав Логін, Head of QA в EVO.
Якщо вам подобається наша робота над подкастом, нагадуємо, що в нас є банка для збору грошей на наступні випуски подкасту.
https://send.monobank.ua/jar/494vdNZbzC. З цих грошей будемо оплачувати роботу монтажеру та промо подкасту. 💪
Послухати новий випуск можна на:
👉 Apple Podcasts: http://surl.li/jyiop
👉 Google Podcasts: http://surl.li/jyipg
👉 Spotify: https://open.spotify.com/episode/0yMEGUBVygGS3rfpjdT2OK
🔥18🤣3
Media is too big
VIEW IN TELEGRAM
Так ось як виглядає позиція на фулстак Продакт+дизайнер+девелопер+тестувальник 😂
🤣25🔥7
План вивчення безпеки
План практичного навчання, щоб стати успішним інженером з кібербезпеки на основі таких ролей, як Pentest, AppSec, Cloud Security, DevSecOps тощо з безкоштовними/платними ресурсами, інструментами та концепціями для досягнення успіху.
Сюди входить:
1. Загальні навички для плану вивчення безпеки
2. План вивчення безпеки AWS
3. План вивчення безпеки GCP
4. План вивчення безпеки Azure
5. План дослідження DevSecOps
6. План вивчення безпеки Docker
7. План вивчення безпеки Kubernetes
8. План дослідження тестування проникнення в Інтернет
9. План тестування безпеки програми
10. План вивчення безпеки API
11. План вивчення безпеки мережі
https://github.com/jassics/security-study-plan
План практичного навчання, щоб стати успішним інженером з кібербезпеки на основі таких ролей, як Pentest, AppSec, Cloud Security, DevSecOps тощо з безкоштовними/платними ресурсами, інструментами та концепціями для досягнення успіху.
Сюди входить:
1. Загальні навички для плану вивчення безпеки
2. План вивчення безпеки AWS
3. План вивчення безпеки GCP
4. План вивчення безпеки Azure
5. План дослідження DevSecOps
6. План вивчення безпеки Docker
7. План вивчення безпеки Kubernetes
8. План дослідження тестування проникнення в Інтернет
9. План тестування безпеки програми
10. План вивчення безпеки API
11. План вивчення безпеки мережі
https://github.com/jassics/security-study-plan
🔥41
_97_JSON_Tests_For_Endpoints_Authentication🔐_1692168963.pdf
82.2 KB
Крута дока як протестити авторизацію JSON. Аж 97 методів вставки даних. Дякую за знахідку @NazariusUA
🔥38
This media is not supported in your browser
VIEW IN TELEGRAM
А ви також так проводите тестування в проді, під навантаженням?😂
🤣31
Hacking Resources
CTF записи, файли, сценарії тощо до відеопокрокових інструкцій.
Завдання, на вирішення якого йде 10 годин, в поясненнях на відеой потрібно лише 10 хвилин :)
https://github.com/Crypto-Cat/CTF
Відоси тут https://www.youtube.com/@_CryptoCat
CTF записи, файли, сценарії тощо до відеопокрокових інструкцій.
Завдання, на вирішення якого йде 10 годин, в поясненнях на відеой потрібно лише 10 хвилин :)
https://github.com/Crypto-Cat/CTF
Відоси тут https://www.youtube.com/@_CryptoCat
🔥12🤣2