Bugbounty Writeups.pdf
437 KB
Велика збірка bugbounty writeup.
Дуже корисно як під час проведення аудиту безпеки так і в загальному розвитку спеціаліста із тестування на проникнення.
#writeup #BugBounty #WriteUp #Guide
Дуже корисно як під час проведення аудиту безпеки так і в загальному розвитку спеціаліста із тестування на проникнення.
#writeup #BugBounty #WriteUp #Guide
🔥13❤3👍1
Garud
Це автоматизований інструмент, який дозволяє збирати піддомени, перевіряти можливість їх захоплення, а також збирати URL-адреси та знаходити поширені вразливості, такі як XSS, SSTI, SSRF, SQLi та інші.
https://github.com/R0X4R/Garud/
Це автоматизований інструмент, який дозволяє збирати піддомени, перевіряти можливість їх захоплення, а також збирати URL-адреси та знаходити поширені вразливості, такі як XSS, SSTI, SSRF, SQLi та інші.
https://github.com/R0X4R/Garud/
👍15
Якщо плануєте здавати на OSCP, то вам буде дуже в нагоді - OSCP Cheatsheet 🗄
[ https://github.com/saisathvik1/OSCP-Cheatsheet ]
[ https://github.com/saisathvik1/OSCP-Cheatsheet ]
GitHub
GitHub - saisathvik1/OSCP-Cheatsheet: OSCP Cheatsheet by Sai Sathvik
OSCP Cheatsheet by Sai Sathvik. Contribute to saisathvik1/OSCP-Cheatsheet development by creating an account on GitHub.
❤4👍2
60 АТАК НА КЛАУД СЕРВЕРИ
Це посібник в якому будуть наведені приклади із 60 типів атак на клауд сервери.
https://svyat.tech/60-atak-na-klaud
Це посібник в якому будуть наведені приклади із 60 типів атак на клауд сервери.
https://svyat.tech/60-atak-na-klaud
🔥12👍2
╔ Список безкоштовних курсів у сфері кібербезпеки. 📚 ╗
Тут треба ще одне життя, щоб то все осягнути 🥲
Одним словом — якщо є бажання розвиватись, знайдуться і можливості для цього 🎯
1. 🎓Certified in Cybersecurity℠ - CC by ICS2:https://www.isc2.org/Certifications/CC
2. 🎓Cybersecurity Essentials by Cisco Academy:https://www.netacad.com/courses/cybersecurity/cybersecurity-essentials
3. 🎓Networking Essentials by Cisco Academy: https://www.netacad.com/courses/networking/networking-essentials
4. 🎓Intro to Information Security by Udacity: https://www.udacity.com/course/intro-to-information-security--ud459
5. 🎓Network Security by Udacity: https://www.udacity.com/course/network-security--ud199
6. 🎓NSE 1,2 & 3 by Fortinet:
https://training.fortinet.com/
7. 🎓Information Security by OpenLearn: https://www.open.edu/openlearn/science-maths-technology/information-security?active-tab=denoscription-tab
8. 🎓Network Security by OpenLearn: https://www.open.edu/openlearn/digital-computing/network-security?active-tab=denoscription-tab
9. 🎓Risk Management by Open Learn: https://www.open.edu/openlearn/money-business/risk-management?active-tab=denoscription-tab
10. 🎓Introduction to Cybersecurity by Cisco Academy https://www.netacad.com/courses/cybersecurity/introduction-cybersecurity
11. 🎓CCNA Security Courses by various platforms:
https://digitaldefynd.com/best-ccna-security-courses/
12. 🎓Network Defense Essentials (NDE) by EC Council: https://codered.eccouncil.org/course/network-defense-essentials
13. 🎓Ethical Hacking Essentials (EHE) by EC Council: https://codered.eccouncil.org/course/ethical-hacking-essentials?logged=false
14. 🎓Digital Forensics Essentials (DFE) by EC Council:https://codered.eccouncil.org/course/digital-forensics-essentials?logged=false
15. 🎓Dark Web, Anonymity, and Cryptocurrency by EC Council: https://codered.eccouncil.org/course/introduction-to-dark-web-anonymity-and-cryptocurrency?logged=false
16. 🎓Digital Forensics by Open Learn: https://www.open.edu/openlearn/science-maths-technology/digital-forensics?active-tab=denoscription-tab
17. 🎓AWS Cloud Certifications (Cybersecurity) : https://explore.skillbuilder.aws/learn/signin
18. 🎓Microsoft Learn for Azure:
https://learn.microsoft.com/en-us/training/azure/
19. 🎓Google Cloud Training: https://cloud.google.com/learn/training
20. 🎓Android Bug Bounty Hunting: Hunt Like a Rat:https://codered.eccouncil.org/course/android-bug-bounty-hunting-hunt-like-a-rat?logged=false
21. 🎓Vulnerability Management:
https://www.qualys.com/training/
22. 🎓Software Security: https://www.classcentral.com/course/software-security-1728
23. 🎓Developing Secure Software: https://training.linuxfoundation.org/training/developing-secure-software-lfd121/
24. 🎓PortSwigger Web Hacking - https://portswigger.net/web-security/dashboard
25. 🎓RedTeaming - https://taggartinstitute.org/p/responsible-red-teaming
26. 🎓Splunk - https://www.splunk.com/en_us/training/free-courses/overview.html
27. 🎓Secure Software Development -https://training.linuxfoundation.org/training/developing-secure-software-lfd121/
28. 🎓Maryland Software Security - https://www.classcentral.com/course/software-security-1728
29. 🎓Stanford Cyber Resiliency - https://www.classcentral.com/course/youtube-stanford-seminar-engineering-cyber-resiliency-a-pragmatic-approach-110018/classroom
30. 🎓Cyber Threat Intelligience -
https://arcx.io/courses/cyber-threat-intelligence-101
#cybersecurity #courses #free #free #security #training
Тут треба ще одне життя, щоб то все осягнути 🥲
Одним словом — якщо є бажання розвиватись, знайдуться і можливості для цього 🎯
1. 🎓Certified in Cybersecurity℠ - CC by ICS2:https://www.isc2.org/Certifications/CC
2. 🎓Cybersecurity Essentials by Cisco Academy:https://www.netacad.com/courses/cybersecurity/cybersecurity-essentials
3. 🎓Networking Essentials by Cisco Academy: https://www.netacad.com/courses/networking/networking-essentials
4. 🎓Intro to Information Security by Udacity: https://www.udacity.com/course/intro-to-information-security--ud459
5. 🎓Network Security by Udacity: https://www.udacity.com/course/network-security--ud199
6. 🎓NSE 1,2 & 3 by Fortinet:
https://training.fortinet.com/
7. 🎓Information Security by OpenLearn: https://www.open.edu/openlearn/science-maths-technology/information-security?active-tab=denoscription-tab
8. 🎓Network Security by OpenLearn: https://www.open.edu/openlearn/digital-computing/network-security?active-tab=denoscription-tab
9. 🎓Risk Management by Open Learn: https://www.open.edu/openlearn/money-business/risk-management?active-tab=denoscription-tab
10. 🎓Introduction to Cybersecurity by Cisco Academy https://www.netacad.com/courses/cybersecurity/introduction-cybersecurity
11. 🎓CCNA Security Courses by various platforms:
https://digitaldefynd.com/best-ccna-security-courses/
12. 🎓Network Defense Essentials (NDE) by EC Council: https://codered.eccouncil.org/course/network-defense-essentials
13. 🎓Ethical Hacking Essentials (EHE) by EC Council: https://codered.eccouncil.org/course/ethical-hacking-essentials?logged=false
14. 🎓Digital Forensics Essentials (DFE) by EC Council:https://codered.eccouncil.org/course/digital-forensics-essentials?logged=false
15. 🎓Dark Web, Anonymity, and Cryptocurrency by EC Council: https://codered.eccouncil.org/course/introduction-to-dark-web-anonymity-and-cryptocurrency?logged=false
16. 🎓Digital Forensics by Open Learn: https://www.open.edu/openlearn/science-maths-technology/digital-forensics?active-tab=denoscription-tab
17. 🎓AWS Cloud Certifications (Cybersecurity) : https://explore.skillbuilder.aws/learn/signin
18. 🎓Microsoft Learn for Azure:
https://learn.microsoft.com/en-us/training/azure/
19. 🎓Google Cloud Training: https://cloud.google.com/learn/training
20. 🎓Android Bug Bounty Hunting: Hunt Like a Rat:https://codered.eccouncil.org/course/android-bug-bounty-hunting-hunt-like-a-rat?logged=false
21. 🎓Vulnerability Management:
https://www.qualys.com/training/
22. 🎓Software Security: https://www.classcentral.com/course/software-security-1728
23. 🎓Developing Secure Software: https://training.linuxfoundation.org/training/developing-secure-software-lfd121/
24. 🎓PortSwigger Web Hacking - https://portswigger.net/web-security/dashboard
25. 🎓RedTeaming - https://taggartinstitute.org/p/responsible-red-teaming
26. 🎓Splunk - https://www.splunk.com/en_us/training/free-courses/overview.html
27. 🎓Secure Software Development -https://training.linuxfoundation.org/training/developing-secure-software-lfd121/
28. 🎓Maryland Software Security - https://www.classcentral.com/course/software-security-1728
29. 🎓Stanford Cyber Resiliency - https://www.classcentral.com/course/youtube-stanford-seminar-engineering-cyber-resiliency-a-pragmatic-approach-110018/classroom
30. 🎓Cyber Threat Intelligience -
https://arcx.io/courses/cyber-threat-intelligence-101
#cybersecurity #courses #free #free #security #training
www.isc2.org
CC Certified in Cybersecurity Certification | ISC2
Achieve the Certified in Cybersecurity (CC) certification with ISC2’s comprehensive training & certification programs. Get your free exam & training today.
❤46🔥12👍4
Намагаєшся перевірити проект на Broken Access Control і дуже часто бачиш 403 у відповіді від вашого проекту, то спробуй перевірити чи не можна обійти 403 відповідь за допомогою методик обходу. Ось інструмент та список обхідних шляхів. Зроби адмінам та девам нерви🥲😅
https://github.com/aufzayed/bugbounty/tree/main/403-bypass
https://github.com/aufzayed/bugbounty/tree/main/403-bypass
❤19🔥7
Хто вивчає або хоче вивчати cloud security 💭 ось тут частково безкоштовні лабораторії для цієї мети 👩🔬👨🔬
Принаймні для Beginner 🍼безкоштовні усі.
#cloud #security #cloudsecurity
[ https://pwnedlabs.io/ ]
Принаймні для Beginner 🍼безкоштовні усі.
#cloud #security #cloudsecurity
[ https://pwnedlabs.io/ ]
❤21🔥13
Ваш проект розгорнутий на докере, але ви не знаєте чим та як його перевірити на безпеку? Ось вам гайд для перевірки.
https://svyat.tech/pentest-docker
https://svyat.tech/pentest-docker
🔥16👍3
Дякую тим, хто небайдуже проголосував за наш подкаст "Гугл не розкаже" в розіграші МЕГОГО, ми зібрали 64 голоса! Тепер ми знаємо що наша аудиторія це 64 людини 🥲 із них 2 голоса це авжеж наші з Ярославом😂
64 голоси - це багато чи мало? Для подкасту про кібербезпеку, українською, який просувається виключно безплатно, лише за допомогою продвинутості Ярослава, та його вміню це робити - то це зовсім непоганий результат. Відсвяткувати це досягнення ми вирішили, випустивши черговий, шостий, випуск подкасту. Kostia Vadys відповів на всі питання по CTF: як брати участь, як читерити (спойлер: складно, але можливо) та навіщо взагалі потрібні кіберзмагання.
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://lnkd.in/gh26T3f9
P.S. Хочете взяти участь у CTF? Долучайтеся до спільноти SET University, ми там час від часу збираємося в команди, ще й футболки фірмові роздаємо: https://discord.com/invite/B3bNyUfNDb.
64 голоси - це багато чи мало? Для подкасту про кібербезпеку, українською, який просувається виключно безплатно, лише за допомогою продвинутості Ярослава, та його вміню це робити - то це зовсім непоганий результат. Відсвяткувати це досягнення ми вирішили, випустивши черговий, шостий, випуск подкасту. Kostia Vadys відповів на всі питання по CTF: як брати участь, як читерити (спойлер: складно, але можливо) та навіщо взагалі потрібні кіберзмагання.
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://lnkd.in/gh26T3f9
P.S. Хочете взяти участь у CTF? Долучайтеся до спільноти SET University, ми там час від часу збираємося в команди, ще й футболки фірмові роздаємо: https://discord.com/invite/B3bNyUfNDb.
🔥11❤5👍3
image_2023-10-12_09-27-31.png
459.4 KB
Табличка наочного порівняння Cyber kill chain vs MITRE ATTCK.
Для кращого розуміння, Cyber kill chain із дослівного перекладу з англійської - ланцюг ураження цілі, тобто певна послідовність дій зловмисника перед його “Fatality”, ну а MITRE ATTCK [ https://attack.mitre.org/ ] - це база знань і модель поведінки зловмисника, яка відображає різні фази життєвого циклу його атаки.
Для кращого розуміння, Cyber kill chain із дослівного перекладу з англійської - ланцюг ураження цілі, тобто певна послідовність дій зловмисника перед його “Fatality”, ну а MITRE ATTCK [ https://attack.mitre.org/ ] - це база знань і модель поведінки зловмисника, яка відображає різні фази життєвого циклу його атаки.
🔥8❤1👍1
Сайт вакансій, пов’язаний із усім, що стосується етичного хакерства, пентеста, розробки безпеки, дослідження загроз, аналізу вразливостей, криптографії, цифрової криміналістики та кібербезпеки загалом.
https://infosec-jobs.com/
https://infosec-jobs.com/
🔥28
Чекліст для тестування андроїда та IOS додатків
https://docs.google.com/spreadsheets/d/1wEKQJLiuSwxZ11x9UmsD68ufINjpXUHl/edit?usp=share_link&ouid=112181166843066693805&rtpof=true&sd=true
https://docs.google.com/spreadsheets/d/1wEKQJLiuSwxZ11x9UmsD68ufINjpXUHl/edit?usp=share_link&ouid=112181166843066693805&rtpof=true&sd=true
👍17🔥11
Media is too big
VIEW IN TELEGRAM
Групка джунів намагається зробити хотфікс бага в проді, але все одно без ревью і рішення ліда не обійтись😂🤣
🤣24👍18🔥1🤯1
This media is not supported in your browser
VIEW IN TELEGRAM
usbdeath - ВбивцяUSB
Це невеликий скрипт usbkill , «цим перемикачем, ви можете негайно потушити ваш комп’ютер».
Основні відмінності:
- він написаний мовою bash, тому буквально будь-хто з базовими навичками програмування може прочитати код і перевірити його
- це не демон, а лише сценарій маніпулювання файловими правилами, усі дії моніторингу виконуються існуючим udev демоном
- він використовує ідентифікаційні значеня для USB-пристроїв (якщо USB-пристрій має ці значення), таких як назва та серійний номер
https://github.com/trpt/usbdeath
Це невеликий скрипт usbkill , «цим перемикачем, ви можете негайно потушити ваш комп’ютер».
Основні відмінності:
- він написаний мовою bash, тому буквально будь-хто з базовими навичками програмування може прочитати код і перевірити його
- це не демон, а лише сценарій маніпулювання файловими правилами, усі дії моніторингу виконуються існуючим udev демоном
- він використовує ідентифікаційні значеня для USB-пристроїв (якщо USB-пристрій має ці значення), таких як назва та серійний номер
https://github.com/trpt/usbdeath
GUIDE TO API HACKING
У цій статті ми обговоримо деякі основні поняття та ви отримаєте кілька порад щодо того, як почати тестувати API. Майте на увазі, що це лише посібник для початківців – про злом API можна дізнатися набагато більше, ніж те, що ми тут розглянемо. Я сподіваюся скерувати вас у правильному напрямку щодо того, як по-іншому поглянути на безпеку API за допомогою кількох методів атаки на API… як перевірити веб-API та як зловживати веб-додатками, які використовують API, щоб знайти ці помилки.
https://svyat.tech/guide-to-api-hacking
У цій статті ми обговоримо деякі основні поняття та ви отримаєте кілька порад щодо того, як почати тестувати API. Майте на увазі, що це лише посібник для початківців – про злом API можна дізнатися набагато більше, ніж те, що ми тут розглянемо. Я сподіваюся скерувати вас у правильному напрямку щодо того, як по-іншому поглянути на безпеку API за допомогою кількох методів атаки на API… як перевірити веб-API та як зловживати веб-додатками, які використовують API, щоб знайти ці помилки.
https://svyat.tech/guide-to-api-hacking
❤18👍4
ВЗЛОМ API ЧЕРЕЗ CURL
Деякі з вас використовували cURL при тестуванні додатків, а чи пробували ви трохи погратися з іншої сторони з ним? В цій статі покажу на скільки важливо робити такі перевірки на безпеку, так як часто знаходив вразливості API у традиційних веб-додатках і хочу поділитися з вами цією інформацією як це робити, а ви самі зрозумієте який вплив на бізнес виникає.
https://svyat.tech/vzlom-api-cherez-curl
Деякі з вас використовували cURL при тестуванні додатків, а чи пробували ви трохи погратися з іншої сторони з ним? В цій статі покажу на скільки важливо робити такі перевірки на безпеку, так як часто знаходив вразливості API у традиційних веб-додатках і хочу поділитися з вами цією інформацією як це робити, а ви самі зрозумієте який вплив на бізнес виникає.
https://svyat.tech/vzlom-api-cherez-curl
👍26🔥7❤2🤣1