60 АТАК НА КЛАУД СЕРВЕРИ

Це посібник в якому будуть наведені приклади із 60 типів атак на клауд сервери.

https://svyat.tech/60-atak-na-klaud

╔ Список безкоштовних курсів у сфері кібербезпеки. 📚 ╗

Тут треба ще одне життя, щоб то все осягнути 🥲
Одним словом — якщо є бажання розвиватись, знайдуться і можливості для цього 🎯

1. 🎓Certified in Cybersecurity℠ - CC by ICS2:https://www.isc2.org/Certifications/CC
2. 🎓Cybersecurity Essentials by Cisco Academy:https://www.netacad.com/courses/cybersecurity/cybersecurity-essentials
3. 🎓Networking Essentials by Cisco Academy: https://www.netacad.com/courses/networking/networking-essentials
4. 🎓Intro to Information Security by Udacity: https://www.udacity.com/course/intro-to-information-security--ud459
5. 🎓Network Security by Udacity: https://www.udacity.com/course/network-security--ud199
6. 🎓NSE 1,2 & 3 by Fortinet:
https://training.fortinet.com/
7. 🎓Information Security by OpenLearn: https://www.open.edu/openlearn/science-maths-technology/information-security?active-tab=denoscription-tab
8. 🎓Network Security by OpenLearn: https://www.open.edu/openlearn/digital-computing/network-security?active-tab=denoscription-tab
9. 🎓Risk Management by Open Learn: https://www.open.edu/openlearn/money-business/risk-management?active-tab=denoscription-tab
10. 🎓Introduction to Cybersecurity by Cisco Academy https://www.netacad.com/courses/cybersecurity/introduction-cybersecurity
11. 🎓CCNA Security Courses by various platforms:
https://digitaldefynd.com/best-ccna-security-courses/
12. 🎓Network Defense Essentials (NDE) by EC Council: https://codered.eccouncil.org/course/network-defense-essentials
13. 🎓Ethical Hacking Essentials (EHE) by EC Council: https://codered.eccouncil.org/course/ethical-hacking-essentials?logged=false
14. 🎓Digital Forensics Essentials (DFE) by EC Council:https://codered.eccouncil.org/course/digital-forensics-essentials?logged=false
15. 🎓Dark Web, Anonymity, and Cryptocurrency by EC Council: https://codered.eccouncil.org/course/introduction-to-dark-web-anonymity-and-cryptocurrency?logged=false
16. 🎓Digital Forensics by Open Learn: https://www.open.edu/openlearn/science-maths-technology/digital-forensics?active-tab=denoscription-tab
17. 🎓AWS Cloud Certifications (Cybersecurity) : https://explore.skillbuilder.aws/learn/signin
18. 🎓Microsoft Learn for Azure:
https://learn.microsoft.com/en-us/training/azure/
19. 🎓Google Cloud Training: https://cloud.google.com/learn/training
20. 🎓Android Bug Bounty Hunting: Hunt Like a Rat:https://codered.eccouncil.org/course/android-bug-bounty-hunting-hunt-like-a-rat?logged=false
21. 🎓Vulnerability Management:
https://www.qualys.com/training/
22. 🎓Software Security: https://www.classcentral.com/course/software-security-1728
23. 🎓Developing Secure Software: https://training.linuxfoundation.org/training/developing-secure-software-lfd121/
24. 🎓PortSwigger Web Hacking - https://portswigger.net/web-security/dashboard
25. 🎓RedTeaming - https://taggartinstitute.org/p/responsible-red-teaming
26. 🎓Splunk - https://www.splunk.com/en_us/training/free-courses/overview.html
27. 🎓Secure Software Development -https://training.linuxfoundation.org/training/developing-secure-software-lfd121/
28. 🎓Maryland Software Security - https://www.classcentral.com/course/software-security-1728
29. 🎓Stanford Cyber Resiliency - https://www.classcentral.com/course/youtube-stanford-seminar-engineering-cyber-resiliency-a-pragmatic-approach-110018/classroom
30. 🎓Cyber Threat Intelligience -
https://arcx.io/courses/cyber-threat-intelligence-101

#cybersecurity #courses #free #free #security #training

Намагаєшся перевірити проект на Broken Access Control і дуже часто бачиш 403 у відповіді від вашого проекту, то спробуй перевірити чи не можна обійти 403 відповідь за допомогою методик обходу. Ось інструмент та список обхідних шляхів. Зроби адмінам та девам нерви🥲😅

https://github.com/aufzayed/bugbounty/tree/main/403-bypass

Хто вивчає або хоче вивчати cloud security 💭 ось тут частково безкоштовні лабораторії для цієї мети 👩‍🔬👨‍🔬
Принаймні для Beginner 🍼безкоштовні усі.

#cloud #security #cloudsecurity
[ https://pwnedlabs.io/ ]

ну що саме час робити хотфікси в проді

Читшит по Wireshark

Ваш проект розгорнутий на докере, але ви не знаєте чим та як його перевірити на безпеку? Ось вам гайд для перевірки.

https://svyat.tech/pentest-docker

Дякую тим, хто небайдуже проголосував за наш подкаст "Гугл не розкаже" в розіграші МЕГОГО, ми зібрали 64 голоса! Тепер ми знаємо що наша аудиторія це 64 людини 🥲 із них 2 голоса це авжеж наші з Ярославом😂

64 голоси - це багато чи мало? Для подкасту про кібербезпеку, українською, який просувається виключно безплатно, лише за допомогою продвинутості Ярослава, та його вміню це робити - то це зовсім непоганий результат. Відсвяткувати це досягнення ми вирішили, випустивши черговий, шостий, випуск подкасту. Kostia Vadys відповів на всі питання по CTF: як брати участь, як читерити (спойлер: складно, але можливо) та навіщо взагалі потрібні кіберзмагання.

Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://lnkd.in/gh26T3f9

P.S. Хочете взяти участь у CTF? Долучайтеся до спільноти SET University, ми там час від часу збираємося в команди, ще й футболки фірмові роздаємо: https://discord.com/invite/B3bNyUfNDb.

Табличка наочного порівняння Cyber kill chain vs MITRE ATTCK.
Для кращого розуміння, Cyber kill chain із дослівного перекладу з англійської - ланцюг ураження цілі, тобто певна послідовність дій зловмисника перед його “Fatality”, ну а MITRE ATTCK [ https://attack.mitre.org/ ] - це база знань і модель поведінки зловмисника, яка відображає різні фази життєвого циклу його атаки.

Лише мить відокремлює від технічного завдання до релізу🥲😂 Як завжди задумка і реальність🤣

Сайт вакансій, пов’язаний із усім, що стосується етичного хакерства, пентеста, розробки безпеки, дослідження загроз, аналізу вразливостей, криптографії, цифрової криміналістики та кібербезпеки загалом.

https://infosec-jobs.com/

Чекліст для тестування андроїда та IOS додатків

https://docs.google.com/spreadsheets/d/1wEKQJLiuSwxZ11x9UmsD68ufINjpXUHl/edit?usp=share_link&ouid=112181166843066693805&rtpof=true&sd=true

Групка джунів намагається зробити хотфікс бага в проді, але все одно без ревью і рішення ліда не обійтись😂🤣

usbdeath - ВбивцяUSB

Це невеликий скрипт usbkill , «цим перемикачем, ви можете негайно потушити ваш комп’ютер».

Основні відмінності:

- він написаний мовою bash, тому буквально будь-хто з базовими навичками програмування може прочитати код і перевірити його
- це не демон, а лише сценарій маніпулювання файловими правилами, усі дії моніторингу виконуються існуючим udev демоном
- він використовує ідентифікаційні значеня для USB-пристроїв (якщо USB-пристрій має ці значення), таких як назва та серійний номер

https://github.com/trpt/usbdeath

GUIDE TO API HACKING

У цій статті ми обговоримо деякі основні поняття та ви отримаєте кілька порад щодо того, як почати тестувати API. Майте на увазі, що це лише посібник для початківців – про злом API можна дізнатися набагато більше, ніж те, що ми тут розглянемо. Я сподіваюся скерувати вас у правильному напрямку щодо того, як по-іншому поглянути на безпеку API за допомогою кількох методів атаки на API… як перевірити веб-API та як зловживати веб-додатками, які використовують API, щоб знайти ці помилки.

https://svyat.tech/guide-to-api-hacking

ВЗЛОМ API ЧЕРЕЗ CURL

Деякі з вас використовували cURL при тестуванні додатків, а чи пробували ви трохи погратися з іншої сторони з ним? В цій статі покажу на скільки важливо робити такі перевірки на безпеку, так як часто знаходив вразливості API у традиційних веб-додатках і хочу поділитися з вами цією інформацією як це робити, а ви самі зрозумієте який вплив на бізнес виникає.

https://svyat.tech/vzlom-api-cherez-curl

API OWASP TOP 10 2023

Що таке безпека API? Основним елементом інновацій у сучасному світі, що керується додатками, є API. Від банків, роздрібної торгівлі та транспорту до Інтернету речей, автономних транспортних засобів і розумних домівок, API є важливою частиною сучасних мобільних, SaaS і веб-додатків, і їх можна знайти в клієнтських, партнерських і внутрішніх програмах. За своєю природою API розкривають логіку додатків і конфіденційні дані, такі як інформація, що дозволяє ідентифікувати особу, і через це все частіше стають мішенню для зловмисників. Без безпечних API швидкі інновації були б неможливі. Безпека API зосереджена на стратегіях і рішеннях для розуміння та пом’якшення унікальних уразливостей і ризиків безпеки інтерфейсів прикладного програмування (API).

https://svyat.tech/api-owasp-top-10

Наглядний приклад процесу розпилу розробником моноліта на мікросервіси😂

Пісочниця (Sandboxing) - ANY.RUN пропонує можливість завантажувати зразок шкідливого програмного забезпечення для аналізу, як і будь-яка онлайн-пісочниця. Також, сервіс пропонує дуже багату функціональність інтерактивного звіту, який містить багато інформації щодо зразка шкідливого програмного забезпечення.

Також, можна переглядати загальнодоступні зразки, надіслані користувачами ANY.RUN, щоб дослідити інформацію про нещодавно виявлене зловмисне програмне забезпечення або те, що зараз поширюється в Інтернеті.

[ https://app.any.run/ ]