Новий випуск подкасту «Гугл не розкаже» – про кібербезпеку в компаніях 👀
Хто відповідає за кібербезпеку в компанії? Що робити, якщо немає бюджету на виявлення вразливостей? Що краще – звернутися до аутсорс-компанії чи найняти спеціаліста/-ку з кібербезпеки в команду? На ці питання відповідає Володимир Сорокін @ariforce, Chief Data Officer у Wildix.
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/episode/6zVc5sfBE40BVVyfr4FqDA?si=E7OFGsz2QlKGwQ-kBFsGpg
Хто відповідає за кібербезпеку в компанії? Що робити, якщо немає бюджету на виявлення вразливостей? Що краще – звернутися до аутсорс-компанії чи найняти спеціаліста/-ку з кібербезпеки в команду? На ці питання відповідає Володимир Сорокін @ariforce, Chief Data Officer у Wildix.
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/episode/6zVc5sfBE40BVVyfr4FqDA?si=E7OFGsz2QlKGwQ-kBFsGpg
🔥8👍2
XSS Hunter Express
Це інструмент який дозволяє шукати сліпі XSS вразливості, встановлюється за 5 хвилин і не потребує обслуговування.
Особливості:
- Керуйте всіма своїми корисними навантаженнями XSS на панелі керування облікового запису XSS Hunter.
- Потужні зонди XSS : наступна інформація збирається щоразу, коли зонд запускає вразливу сторінку:
--URI вразливої сторінки
--Походження виконання
--IP-адреса жертви
--Реферер сторінки
--Агент користувача жертви
--Усі файли cookie, які не є лише HTTP
--Повний HTML DOM сторінки
--Повний знімок екрана ураженої сторінки
--Відповідальний HTTP-запит (якщо використовується інструмент ін’єкції, сумісний з XSS Hunter)
--Повідомлений браузером час
--Якщо корисне навантаження було запущено в iframe
- і багато іншого
https://github.com/mandatoryprogrammer/xsshunter-express
Це інструмент який дозволяє шукати сліпі XSS вразливості, встановлюється за 5 хвилин і не потребує обслуговування.
Особливості:
- Керуйте всіма своїми корисними навантаженнями XSS на панелі керування облікового запису XSS Hunter.
- Потужні зонди XSS : наступна інформація збирається щоразу, коли зонд запускає вразливу сторінку:
--URI вразливої сторінки
--Походження виконання
--IP-адреса жертви
--Реферер сторінки
--Агент користувача жертви
--Усі файли cookie, які не є лише HTTP
--Повний HTML DOM сторінки
--Повний знімок екрана ураженої сторінки
--Відповідальний HTTP-запит (якщо використовується інструмент ін’єкції, сумісний з XSS Hunter)
--Повідомлений браузером час
--Якщо корисне навантаження було запущено в iframe
- і багато іншого
https://github.com/mandatoryprogrammer/xsshunter-express
🔥10🤔3
Фазер для отримання схеми GraphQL API
Тестуєш граф та хочеш отримати схему, щоб перевірити усі методи? Але розробники добре постаралися скрити її від стороніх очей? То тобі допоможе ця тулза Clairvoyance, вона допомагає отримати схему GraphQL API, навіть якщо інтроспекція вимкнена. Він створює схему у форматі JSON, придатну для інших інструментів, таких як GraphQL Voyager , InQL або graphql-path-enum .
https://github.com/nikitastupin/clairvoyance
Тестуєш граф та хочеш отримати схему, щоб перевірити усі методи? Але розробники добре постаралися скрити її від стороніх очей? То тобі допоможе ця тулза Clairvoyance, вона допомагає отримати схему GraphQL API, навіть якщо інтроспекція вимкнена. Він створює схему у форматі JSON, придатну для інших інструментів, таких як GraphQL Voyager , InQL або graphql-path-enum .
https://github.com/nikitastupin/clairvoyance
👍13
А ще у нас на плані запис 6 серії нашого подкасту Гугл не розкаже, присвячений темі CTF. тому збираємо питанка від вас, щоб розкрити повнітю для вас цю тематику.
P.S. якщо що, чекаємо будь якої складності питання:
https://forms.gle/mACL4bwmF6jUFf989
P.S. якщо що, чекаємо будь якої складності питання:
https://forms.gle/mACL4bwmF6jUFf989
❤5
CaptureTheFreeFlag
CaptureTheFreeFlag — це ретельно підібране й постійно оновлюване сховище на GitHub, яке надає повну колекцію безкоштовних кімнат, доступних на TryHackMe. Цей безцінний ресурс розроблений, щоб допомогти початківцям ентузіастам кібербезпеки, тестувальникам проникнення та етичним хакерам у вдосконаленні своїх навичок і отриманні практичного досвіду в безпечному та контрольованому середовищі.
Що прикольно тут автор поділив навіть на направленням ці кімнати від початківців до суворих мамкіних хацкерів, є також і для мобільних додатків кімнати.
https://www.linkedin.com/pulse/capturethefreeflag-masaud-ahmad%3FtrackingId=OsBez%252FT3a4U6w5Ko3l4FBA%253D%253D/
CaptureTheFreeFlag — це ретельно підібране й постійно оновлюване сховище на GitHub, яке надає повну колекцію безкоштовних кімнат, доступних на TryHackMe. Цей безцінний ресурс розроблений, щоб допомогти початківцям ентузіастам кібербезпеки, тестувальникам проникнення та етичним хакерам у вдосконаленні своїх навичок і отриманні практичного досвіду в безпечному та контрольованому середовищі.
Що прикольно тут автор поділив навіть на направленням ці кімнати від початківців до суворих мамкіних хацкерів, є також і для мобільних додатків кімнати.
https://www.linkedin.com/pulse/capturethefreeflag-masaud-ahmad%3FtrackingId=OsBez%252FT3a4U6w5Ko3l4FBA%253D%253D/
🔥15👍1
Часто чую питання "що треба знати для junior pentester?".
Це те відчуття коли потрапляєш в океан на шлюпці із веслами, і не знаєш в який бік гребти 🙈
Для таких випадків і для контролю власного фокусу є досить зручна карта із інтерактивними блоками ┈➤ roadmap cyber-security.
Більш як впевнений, що багато із вас вже знають про неї, але думаю є і ті кому це буде корисно.
Для зручності можна завантажити і відстежувати її в індивідуальному порядку.
[ https://roadmap.sh/cyber-security ]
Це те відчуття коли потрапляєш в океан на шлюпці із веслами, і не знаєш в який бік гребти 🙈
Для таких випадків і для контролю власного фокусу є досить зручна карта із інтерактивними блоками ┈➤ roadmap cyber-security.
Більш як впевнений, що багато із вас вже знають про неї, але думаю є і ті кому це буде корисно.
Для зручності можна завантажити і відстежувати її в індивідуальному порядку.
[ https://roadmap.sh/cyber-security ]
roadmap.sh
Cyber Security Roadmap: Learn to become a Cyber Security Expert
Step by step guide to becoming a Cyber Security Expert in 2025
👍22🔥13
Phishing attack 🦠
Інколи є відчуття, що ми орієнтуємось достатньо, щоб не потрапити у пастку зловмисника та це лише наші сподівання.
У статті автор описав як легко обійти 2FA, тут і навичок у програмуванні не сильно треба.
Скрипт використовує обробник подій "click", далі жертва отримавши на електронну пошту лист із фішинг посиланням, довіряючи google намагається ввійти в обліковий запис, але її очікує неприємний сюрприз, оскільки вона вже на локальній машині зловмисника, який читає весь ваш інпут.
https://medium.com/@canonminibeast/how-to-bypass-the-2fa-two-factor-authentication-c6fd834ea139
Інколи є відчуття, що ми орієнтуємось достатньо, щоб не потрапити у пастку зловмисника та це лише наші сподівання.
У статті автор описав як легко обійти 2FA, тут і навичок у програмуванні не сильно треба.
Скрипт використовує обробник подій "click", далі жертва отримавши на електронну пошту лист із фішинг посиланням, довіряючи google намагається ввійти в обліковий запис, але її очікує неприємний сюрприз, оскільки вона вже на локальній машині зловмисника, який читає весь ваш інпут.
https://medium.com/@canonminibeast/how-to-bypass-the-2fa-two-factor-authentication-c6fd834ea139
Medium
HOW TO BYPASS THE 2FA(TWO FACTOR AUTHENTICATION)
Initially we should know about some basics of phishing attack, It is the base techinque we use here to gain password of victim
👍5🔥4
Pentration Testing Beginners To Expert!.pdf
127.2 KB
Pentration Testing Beginners To Expert!
Туторіал з розписаними скілами, якими має володіти пентестер та зразу з ютуб відосами на тот скіл
Туторіал з розписаними скілами, якими має володіти пентестер та зразу з ютуб відосами на тот скіл
👍28🔥24❤1
Ймовірно кожен знає, що таке XSS і як її знайти. Але не кожен знає, що це настільки велика сфера, що її можна ледь не виокремити під окрему роль PenTestXSS 😅 по вивченню, дослідженню та експлуатації.
Мова саме про те, які збочення можна вигадувати і комбінувати щоб скласти валідний XSS та який пройде захист WAF і про те як прокачати свої вміння у складанні власних polyglots, так би мовити - еволюціонувати із скріпт кіді.
BRUTE XSS - [ https://brutelogic.com.br/blog/ ] ресурс де можна ознайомитись із різними техніками експлуатації XSS, зрозуміти їх природу та попрактикуватись у їх виконанні на XSS GYM.
#XSS
Мова саме про те, які збочення можна вигадувати і комбінувати щоб скласти валідний XSS та який пройде захист WAF і про те як прокачати свої вміння у складанні власних polyglots, так би мовити - еволюціонувати із скріпт кіді.
BRUTE XSS - [ https://brutelogic.com.br/blog/ ] ресурс де можна ознайомитись із різними техніками експлуатації XSS, зрозуміти їх природу та попрактикуватись у їх виконанні на XSS GYM.
#XSS
🔥8👍1
This media is not supported in your browser
VIEW IN TELEGRAM
А як ви боритесь зі стресом у дратівливих ситуаціяї?😂
🤣21👍2
Smappen - це сервіс, який показує, як далеко міг переміститися об'єкт із заданої точки за певний проміжок часу, щоб виконати пошукові роботи.
- Критерієм може виступати час, відстань чи територія;
- Є три варіанти переміщення об'єкта: пішки, велосипедом чи автомобілем;
- Є платна версія із розширеним функціоналом;
- Критерієм може виступати час, відстань чи територія;
- Є три варіанти переміщення об'єкта: пішки, велосипедом чи автомобілем;
- Є платна версія із розширеним функціоналом;
👍15🤔1
Новий випуск подкасту «Гугл не розкаже» – про сертифікацію в кібербезпеці 🤓
Навіщо потрібні сертифікати в кібербезпеці? Чи впливають вони на зарплату? Чи може бути занадто багато сертифікатів? На ці питання відповів гість випуску, Сергій Короленко, лідер OWASP Kyiv, [OSCP/eWPTX/eMAPT].
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/episode/1n285UV6vdY8UIYwPCIkyF?si=yX7pCx-BSmacxJpk3dM2uA
Навіщо потрібні сертифікати в кібербезпеці? Чи впливають вони на зарплату? Чи може бути занадто багато сертифікатів? На ці питання відповів гість випуску, Сергій Короленко, лідер OWASP Kyiv, [OSCP/eWPTX/eMAPT].
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/episode/1n285UV6vdY8UIYwPCIkyF?si=yX7pCx-BSmacxJpk3dM2uA
👍11🔥7
Багато із нас користується розширеннями для Chrome, але чи знаєте, що далеко не всі вони є безпечними, а подекуди це прямі бекдори до вашого умовно безпечного середовища.
Як зробити тестування безпеки та переконатись, що ви не встановили собі “друга” на свій девайс, або провести аналіз бажаного розширення яке пропонує можливості в режимі Бога, детально у даній статті.
[ https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing ]
Як зробити тестування безпеки та переконатись, що ви не встановили собі “друга” на свій девайс, або провести аналіз бажаного розширення яке пропонує можливості в режимі Бога, детально у даній статті.
[ https://www.cobalt.io/blog/introduction-to-chrome-browser-extension-security-testing ]
www.cobalt.io
Introduction to Chrome Browser Extension Security Testing | Cobalt
Browser extensions, plugins, and add-ons are software components that enhance the functionality of existing programs, specifically web browsers.
🤔9👍2
Bugbounty Writeups.pdf
437 KB
Велика збірка bugbounty writeup.
Дуже корисно як під час проведення аудиту безпеки так і в загальному розвитку спеціаліста із тестування на проникнення.
#writeup #BugBounty #WriteUp #Guide
Дуже корисно як під час проведення аудиту безпеки так і в загальному розвитку спеціаліста із тестування на проникнення.
#writeup #BugBounty #WriteUp #Guide
🔥13❤3👍1
Garud
Це автоматизований інструмент, який дозволяє збирати піддомени, перевіряти можливість їх захоплення, а також збирати URL-адреси та знаходити поширені вразливості, такі як XSS, SSTI, SSRF, SQLi та інші.
https://github.com/R0X4R/Garud/
Це автоматизований інструмент, який дозволяє збирати піддомени, перевіряти можливість їх захоплення, а також збирати URL-адреси та знаходити поширені вразливості, такі як XSS, SSTI, SSRF, SQLi та інші.
https://github.com/R0X4R/Garud/
👍15
Якщо плануєте здавати на OSCP, то вам буде дуже в нагоді - OSCP Cheatsheet 🗄
[ https://github.com/saisathvik1/OSCP-Cheatsheet ]
[ https://github.com/saisathvik1/OSCP-Cheatsheet ]
GitHub
GitHub - saisathvik1/OSCP-Cheatsheet: OSCP Cheatsheet by Sai Sathvik
OSCP Cheatsheet by Sai Sathvik. Contribute to saisathvik1/OSCP-Cheatsheet development by creating an account on GitHub.
❤4👍2
60 АТАК НА КЛАУД СЕРВЕРИ
Це посібник в якому будуть наведені приклади із 60 типів атак на клауд сервери.
https://svyat.tech/60-atak-na-klaud
Це посібник в якому будуть наведені приклади із 60 типів атак на клауд сервери.
https://svyat.tech/60-atak-na-klaud
🔥12👍2