Випустили другий випуск «Гугл не розкаже» – про пошуки першої роботи в КБ ⏯️
Після невеликої паузи випускаємо другий випуск нашого подкасту. Випуск вийшов коротким та змістовним, експерткою виступила Ольга Насібуліна, кофаундерка CyberPeople та CyberHR. Якщо шукаєте роботу в сфері кібербезпеки, радимо звернути увагу на ці ресурси 😎
Також завели Монобанку для збору грошей на випуск подкасту. Якщо вам подобається те що ми робимо - долучайтеся: https://send.monobank.ua/jar/494vdNZbzC. З цих грошей будемо оплачувати роботу монтажеру та промо подкасту. В ідеалі - платити нашим експертам та експерткам. Вже плануємо другий сезон (і монтуємо третій випуск) 💪
Послухати новий випуск можна на:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/show/6ykZFpjnvTQrRvELCIDL5n
Після невеликої паузи випускаємо другий випуск нашого подкасту. Випуск вийшов коротким та змістовним, експерткою виступила Ольга Насібуліна, кофаундерка CyberPeople та CyberHR. Якщо шукаєте роботу в сфері кібербезпеки, радимо звернути увагу на ці ресурси 😎
Також завели Монобанку для збору грошей на випуск подкасту. Якщо вам подобається те що ми робимо - долучайтеся: https://send.monobank.ua/jar/494vdNZbzC. З цих грошей будемо оплачувати роботу монтажеру та промо подкасту. В ідеалі - платити нашим експертам та експерткам. Вже плануємо другий сезон (і монтуємо третій випуск) 💪
Послухати новий випуск можна на:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/show/6ykZFpjnvTQrRvELCIDL5n
🔥14
Добірка лабораторних робіт, для практики в пошуку таких то вразливостей
SQLi — Лінк
Oauth 2.0 — Лінк
GraphQL — Лінк
JWT Authentication — Лінк
SAML Authentication — Лінк
XSS — Лінк
SSRF — Лінк
XXE — Лінк
LFI — Лінк
CSRF — Лінк
Java deserialization — Лінк
HTTP-Smuggling — Лінк
Prototype Pollution — Лінк
WebSockets — Лінк
SSTI — Лінк
SQLi — Лінк
Oauth 2.0 — Лінк
GraphQL — Лінк
JWT Authentication — Лінк
SAML Authentication — Лінк
XSS — Лінк
SSRF — Лінк
XXE — Лінк
LFI — Лінк
CSRF — Лінк
Java deserialization — Лінк
HTTP-Smuggling — Лінк
Prototype Pollution — Лінк
WebSockets — Лінк
SSTI — Лінк
🔥48
This media is not supported in your browser
VIEW IN TELEGRAM
Замовнику дали макет сайта, подивитись чи все влаштовує, але замовник почав перевіряти на роботу і жалуватись що сайт не працює😂🥲
🤣41🥱1
Commix (COMMand Injection eXploiter)
Це інструмент із відкритим вихідним кодом для автоматизації виявлення та експлуатації вразливих елементів впровадження команди ОС.
Здатний використовувати різні техніки і обробляти фільтрацію засобів захисту, використовуючи тампер-скрипти. Це як SQLMap, але тільки для введення команди.
У скрині нижче, у вигляді прикладу, показано використання даного інструменту для виявлення та експлуатації вразливості встановленої команди ОС у GraphQL.
https://github.com/commixproject/commix
Це інструмент із відкритим вихідним кодом для автоматизації виявлення та експлуатації вразливих елементів впровадження команди ОС.
Здатний використовувати різні техніки і обробляти фільтрацію засобів захисту, використовуючи тампер-скрипти. Це як SQLMap, але тільки для введення команди.
У скрині нижче, у вигляді прикладу, показано використання даного інструменту для виявлення та експлуатації вразливості встановленої команди ОС у GraphQL.
https://github.com/commixproject/commix
🔥6🫡2🥱1
Посібник з особистої кібергігієни
Ця сторінка містить серію посібників з 10 розділів, якими ви можете скористатися, щоб захистити себе та забезпечити кібербезпеку своїх близьких.
З огляду на те, що кіберзлочинці знаходять нові способи нападу на людей в Інтернеті, важливо, щоб ви були впевнені щодо кроків, які ви можете вжити, щоб захистити себе та своїх близьких. Незалежно від того, чи хочете ви зрозуміти основи кібербезпеки чи хочете застосувати більш просунуті засоби захисту, ви можете виконати кілька простих кроків.
https://svyat.tech/personal-cyber-security
Ця сторінка містить серію посібників з 10 розділів, якими ви можете скористатися, щоб захистити себе та забезпечити кібербезпеку своїх близьких.
З огляду на те, що кіберзлочинці знаходять нові способи нападу на людей в Інтернеті, важливо, щоб ви були впевнені щодо кроків, які ви можете вжити, щоб захистити себе та своїх близьких. Незалежно від того, чи хочете ви зрозуміти основи кібербезпеки чи хочете застосувати більш просунуті засоби захисту, ви можете виконати кілька простих кроків.
https://svyat.tech/personal-cyber-security
🔥15🥱1
Випустили третій випуск «Гугл не розкаже» – Як світчнутися в кібербезпеку ⏯️
Випуск вийшов коротким та змістовним, як завжди, експертами на цій зустрічі були Назарій Завада, Penetration Test Engineer в EVO та Святослав Логін, Head of QA в EVO.
Якщо вам подобається наша робота над подкастом, нагадуємо, що в нас є банка для збору грошей на наступні випуски подкасту.
https://send.monobank.ua/jar/494vdNZbzC. З цих грошей будемо оплачувати роботу монтажеру та промо подкасту. 💪
Послухати новий випуск можна на:
👉 Apple Podcasts: http://surl.li/jyiop
👉 Google Podcasts: http://surl.li/jyipg
👉 Spotify: https://open.spotify.com/episode/0yMEGUBVygGS3rfpjdT2OK
Випуск вийшов коротким та змістовним, як завжди, експертами на цій зустрічі були Назарій Завада, Penetration Test Engineer в EVO та Святослав Логін, Head of QA в EVO.
Якщо вам подобається наша робота над подкастом, нагадуємо, що в нас є банка для збору грошей на наступні випуски подкасту.
https://send.monobank.ua/jar/494vdNZbzC. З цих грошей будемо оплачувати роботу монтажеру та промо подкасту. 💪
Послухати новий випуск можна на:
👉 Apple Podcasts: http://surl.li/jyiop
👉 Google Podcasts: http://surl.li/jyipg
👉 Spotify: https://open.spotify.com/episode/0yMEGUBVygGS3rfpjdT2OK
🔥18🤣3
Media is too big
VIEW IN TELEGRAM
Так ось як виглядає позиція на фулстак Продакт+дизайнер+девелопер+тестувальник 😂
🤣25🔥7
План вивчення безпеки
План практичного навчання, щоб стати успішним інженером з кібербезпеки на основі таких ролей, як Pentest, AppSec, Cloud Security, DevSecOps тощо з безкоштовними/платними ресурсами, інструментами та концепціями для досягнення успіху.
Сюди входить:
1. Загальні навички для плану вивчення безпеки
2. План вивчення безпеки AWS
3. План вивчення безпеки GCP
4. План вивчення безпеки Azure
5. План дослідження DevSecOps
6. План вивчення безпеки Docker
7. План вивчення безпеки Kubernetes
8. План дослідження тестування проникнення в Інтернет
9. План тестування безпеки програми
10. План вивчення безпеки API
11. План вивчення безпеки мережі
https://github.com/jassics/security-study-plan
План практичного навчання, щоб стати успішним інженером з кібербезпеки на основі таких ролей, як Pentest, AppSec, Cloud Security, DevSecOps тощо з безкоштовними/платними ресурсами, інструментами та концепціями для досягнення успіху.
Сюди входить:
1. Загальні навички для плану вивчення безпеки
2. План вивчення безпеки AWS
3. План вивчення безпеки GCP
4. План вивчення безпеки Azure
5. План дослідження DevSecOps
6. План вивчення безпеки Docker
7. План вивчення безпеки Kubernetes
8. План дослідження тестування проникнення в Інтернет
9. План тестування безпеки програми
10. План вивчення безпеки API
11. План вивчення безпеки мережі
https://github.com/jassics/security-study-plan
🔥41
_97_JSON_Tests_For_Endpoints_Authentication🔐_1692168963.pdf
82.2 KB
Крута дока як протестити авторизацію JSON. Аж 97 методів вставки даних. Дякую за знахідку @NazariusUA
🔥38
This media is not supported in your browser
VIEW IN TELEGRAM
А ви також так проводите тестування в проді, під навантаженням?😂
🤣31
Hacking Resources
CTF записи, файли, сценарії тощо до відеопокрокових інструкцій.
Завдання, на вирішення якого йде 10 годин, в поясненнях на відеой потрібно лише 10 хвилин :)
https://github.com/Crypto-Cat/CTF
Відоси тут https://www.youtube.com/@_CryptoCat
CTF записи, файли, сценарії тощо до відеопокрокових інструкцій.
Завдання, на вирішення якого йде 10 годин, в поясненнях на відеой потрібно лише 10 хвилин :)
https://github.com/Crypto-Cat/CTF
Відоси тут https://www.youtube.com/@_CryptoCat
🔥12🤣2
Дуже велика підбірка дорків під різні види інструментів
В цей список входять дорки не тільки до гугла, а й до shodan, github, duck та для інших тулзів.
https://github.com/cipher387/Dorks-collections-list/
В цей список входять дорки не тільки до гугла, а й до shodan, github, duck та для інших тулзів.
https://github.com/cipher387/Dorks-collections-list/
🔥8
Чек ліст по TryHackMe
tryhackme.com – це веб-сайт, який містить проблеми/запитання щодо кібербезпеки.
Try Hack Me організовано в кімнати, які можуть мати багато проблемні місця. Щоб спробувати вирішити проблеми, потрібно відкрити підключення до AttackBox, веб-підключення до машини Kali. Крім того, ви можете використовувати OpenVPN. Для безкоштовних користувачів існує обмеження за часом використання машини, але для людей з підпискою це необмежену кількість відкритих машин становить 3.
https://github.com/Zeyu-Li/TryHackMe
tryhackme.com – це веб-сайт, який містить проблеми/запитання щодо кібербезпеки.
Try Hack Me організовано в кімнати, які можуть мати багато проблемні місця. Щоб спробувати вирішити проблеми, потрібно відкрити підключення до AttackBox, веб-підключення до машини Kali. Крім того, ви можете використовувати OpenVPN. Для безкоштовних користувачів існує обмеження за часом використання машини, але для людей з підпискою це необмежену кількість відкритих машин становить 3.
https://github.com/Zeyu-Li/TryHackMe
👍9🤔2🤣2
Forwarded from Реальний OSINT
Сьогодні розповімо вам про те, як підвищити анонімність та забезпечити власну кібергігієну при використанні браузерів
Цей список не обмежується та не закінчується розглянутими далі розширеннями, але це буде непоганий початок у цьому нелегкому завданні)
https://telegra.ph/YAk-zabezpechiti-svoyu-bezpeku-pri-koristuvannі-brauzerom-08-29
🌐 Реальний OSINT
Цей список не обмежується та не закінчується розглянутими далі розширеннями, але це буде непоганий початок у цьому нелегкому завданні)
https://telegra.ph/YAk-zabezpechiti-svoyu-bezpeku-pri-koristuvannі-brauzerom-08-29
🌐 Реальний OSINT
Telegraph
Як забезпечити свою безпеку при користуванні браузером?
В сучасному цифровому світі, коли перебування в Інтернеті стало неодмінною частиною нашого життя, питання кібергігієни та приватності набувають все більшого значення. Розширення для браузерів, спрямовані на підвищення особистої кібербезпеки та анонімності…
🔥9👍3❤2
Новий випуск подкасту «Гугл не розкаже» – про кібербезпеку в компаніях 👀
Хто відповідає за кібербезпеку в компанії? Що робити, якщо немає бюджету на виявлення вразливостей? Що краще – звернутися до аутсорс-компанії чи найняти спеціаліста/-ку з кібербезпеки в команду? На ці питання відповідає Володимир Сорокін @ariforce, Chief Data Officer у Wildix.
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/episode/6zVc5sfBE40BVVyfr4FqDA?si=E7OFGsz2QlKGwQ-kBFsGpg
Хто відповідає за кібербезпеку в компанії? Що робити, якщо немає бюджету на виявлення вразливостей? Що краще – звернутися до аутсорс-компанії чи найняти спеціаліста/-ку з кібербезпеки в команду? На ці питання відповідає Володимир Сорокін @ariforce, Chief Data Officer у Wildix.
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/episode/6zVc5sfBE40BVVyfr4FqDA?si=E7OFGsz2QlKGwQ-kBFsGpg
🔥8👍2
XSS Hunter Express
Це інструмент який дозволяє шукати сліпі XSS вразливості, встановлюється за 5 хвилин і не потребує обслуговування.
Особливості:
- Керуйте всіма своїми корисними навантаженнями XSS на панелі керування облікового запису XSS Hunter.
- Потужні зонди XSS : наступна інформація збирається щоразу, коли зонд запускає вразливу сторінку:
--URI вразливої сторінки
--Походження виконання
--IP-адреса жертви
--Реферер сторінки
--Агент користувача жертви
--Усі файли cookie, які не є лише HTTP
--Повний HTML DOM сторінки
--Повний знімок екрана ураженої сторінки
--Відповідальний HTTP-запит (якщо використовується інструмент ін’єкції, сумісний з XSS Hunter)
--Повідомлений браузером час
--Якщо корисне навантаження було запущено в iframe
- і багато іншого
https://github.com/mandatoryprogrammer/xsshunter-express
Це інструмент який дозволяє шукати сліпі XSS вразливості, встановлюється за 5 хвилин і не потребує обслуговування.
Особливості:
- Керуйте всіма своїми корисними навантаженнями XSS на панелі керування облікового запису XSS Hunter.
- Потужні зонди XSS : наступна інформація збирається щоразу, коли зонд запускає вразливу сторінку:
--URI вразливої сторінки
--Походження виконання
--IP-адреса жертви
--Реферер сторінки
--Агент користувача жертви
--Усі файли cookie, які не є лише HTTP
--Повний HTML DOM сторінки
--Повний знімок екрана ураженої сторінки
--Відповідальний HTTP-запит (якщо використовується інструмент ін’єкції, сумісний з XSS Hunter)
--Повідомлений браузером час
--Якщо корисне навантаження було запущено в iframe
- і багато іншого
https://github.com/mandatoryprogrammer/xsshunter-express
🔥10🤔3
Фазер для отримання схеми GraphQL API
Тестуєш граф та хочеш отримати схему, щоб перевірити усі методи? Але розробники добре постаралися скрити її від стороніх очей? То тобі допоможе ця тулза Clairvoyance, вона допомагає отримати схему GraphQL API, навіть якщо інтроспекція вимкнена. Він створює схему у форматі JSON, придатну для інших інструментів, таких як GraphQL Voyager , InQL або graphql-path-enum .
https://github.com/nikitastupin/clairvoyance
Тестуєш граф та хочеш отримати схему, щоб перевірити усі методи? Але розробники добре постаралися скрити її від стороніх очей? То тобі допоможе ця тулза Clairvoyance, вона допомагає отримати схему GraphQL API, навіть якщо інтроспекція вимкнена. Він створює схему у форматі JSON, придатну для інших інструментів, таких як GraphQL Voyager , InQL або graphql-path-enum .
https://github.com/nikitastupin/clairvoyance
👍13