Намагаєшся перевірити проект на Broken Access Control і дуже часто бачиш 403 у відповіді від вашого проекту, то спробуй перевірити чи не можна обійти 403 відповідь за допомогою методик обходу. Ось інструмент та список обхідних шляхів. Зроби адмінам та девам нерви🥲😅
https://github.com/aufzayed/bugbounty/tree/main/403-bypass
https://github.com/aufzayed/bugbounty/tree/main/403-bypass
❤19🔥7
Хто вивчає або хоче вивчати cloud security 💭 ось тут частково безкоштовні лабораторії для цієї мети 👩🔬👨🔬
Принаймні для Beginner 🍼безкоштовні усі.
#cloud #security #cloudsecurity
[ https://pwnedlabs.io/ ]
Принаймні для Beginner 🍼безкоштовні усі.
#cloud #security #cloudsecurity
[ https://pwnedlabs.io/ ]
❤21🔥13
Ваш проект розгорнутий на докере, але ви не знаєте чим та як його перевірити на безпеку? Ось вам гайд для перевірки.
https://svyat.tech/pentest-docker
https://svyat.tech/pentest-docker
🔥16👍3
Дякую тим, хто небайдуже проголосував за наш подкаст "Гугл не розкаже" в розіграші МЕГОГО, ми зібрали 64 голоса! Тепер ми знаємо що наша аудиторія це 64 людини 🥲 із них 2 голоса це авжеж наші з Ярославом😂
64 голоси - це багато чи мало? Для подкасту про кібербезпеку, українською, який просувається виключно безплатно, лише за допомогою продвинутості Ярослава, та його вміню це робити - то це зовсім непоганий результат. Відсвяткувати це досягнення ми вирішили, випустивши черговий, шостий, випуск подкасту. Kostia Vadys відповів на всі питання по CTF: як брати участь, як читерити (спойлер: складно, але можливо) та навіщо взагалі потрібні кіберзмагання.
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://lnkd.in/gh26T3f9
P.S. Хочете взяти участь у CTF? Долучайтеся до спільноти SET University, ми там час від часу збираємося в команди, ще й футболки фірмові роздаємо: https://discord.com/invite/B3bNyUfNDb.
64 голоси - це багато чи мало? Для подкасту про кібербезпеку, українською, який просувається виключно безплатно, лише за допомогою продвинутості Ярослава, та його вміню це робити - то це зовсім непоганий результат. Відсвяткувати це досягнення ми вирішили, випустивши черговий, шостий, випуск подкасту. Kostia Vadys відповів на всі питання по CTF: як брати участь, як читерити (спойлер: складно, але можливо) та навіщо взагалі потрібні кіберзмагання.
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://lnkd.in/gh26T3f9
P.S. Хочете взяти участь у CTF? Долучайтеся до спільноти SET University, ми там час від часу збираємося в команди, ще й футболки фірмові роздаємо: https://discord.com/invite/B3bNyUfNDb.
🔥11❤5👍3
image_2023-10-12_09-27-31.png
459.4 KB
Табличка наочного порівняння Cyber kill chain vs MITRE ATTCK.
Для кращого розуміння, Cyber kill chain із дослівного перекладу з англійської - ланцюг ураження цілі, тобто певна послідовність дій зловмисника перед його “Fatality”, ну а MITRE ATTCK [ https://attack.mitre.org/ ] - це база знань і модель поведінки зловмисника, яка відображає різні фази життєвого циклу його атаки.
Для кращого розуміння, Cyber kill chain із дослівного перекладу з англійської - ланцюг ураження цілі, тобто певна послідовність дій зловмисника перед його “Fatality”, ну а MITRE ATTCK [ https://attack.mitre.org/ ] - це база знань і модель поведінки зловмисника, яка відображає різні фази життєвого циклу його атаки.
🔥8❤1👍1
Сайт вакансій, пов’язаний із усім, що стосується етичного хакерства, пентеста, розробки безпеки, дослідження загроз, аналізу вразливостей, криптографії, цифрової криміналістики та кібербезпеки загалом.
https://infosec-jobs.com/
https://infosec-jobs.com/
🔥28
Чекліст для тестування андроїда та IOS додатків
https://docs.google.com/spreadsheets/d/1wEKQJLiuSwxZ11x9UmsD68ufINjpXUHl/edit?usp=share_link&ouid=112181166843066693805&rtpof=true&sd=true
https://docs.google.com/spreadsheets/d/1wEKQJLiuSwxZ11x9UmsD68ufINjpXUHl/edit?usp=share_link&ouid=112181166843066693805&rtpof=true&sd=true
👍17🔥11
Media is too big
VIEW IN TELEGRAM
Групка джунів намагається зробити хотфікс бага в проді, але все одно без ревью і рішення ліда не обійтись😂🤣
🤣24👍18🔥1🤯1
This media is not supported in your browser
VIEW IN TELEGRAM
usbdeath - ВбивцяUSB
Це невеликий скрипт usbkill , «цим перемикачем, ви можете негайно потушити ваш комп’ютер».
Основні відмінності:
- він написаний мовою bash, тому буквально будь-хто з базовими навичками програмування може прочитати код і перевірити його
- це не демон, а лише сценарій маніпулювання файловими правилами, усі дії моніторингу виконуються існуючим udev демоном
- він використовує ідентифікаційні значеня для USB-пристроїв (якщо USB-пристрій має ці значення), таких як назва та серійний номер
https://github.com/trpt/usbdeath
Це невеликий скрипт usbkill , «цим перемикачем, ви можете негайно потушити ваш комп’ютер».
Основні відмінності:
- він написаний мовою bash, тому буквально будь-хто з базовими навичками програмування може прочитати код і перевірити його
- це не демон, а лише сценарій маніпулювання файловими правилами, усі дії моніторингу виконуються існуючим udev демоном
- він використовує ідентифікаційні значеня для USB-пристроїв (якщо USB-пристрій має ці значення), таких як назва та серійний номер
https://github.com/trpt/usbdeath
GUIDE TO API HACKING
У цій статті ми обговоримо деякі основні поняття та ви отримаєте кілька порад щодо того, як почати тестувати API. Майте на увазі, що це лише посібник для початківців – про злом API можна дізнатися набагато більше, ніж те, що ми тут розглянемо. Я сподіваюся скерувати вас у правильному напрямку щодо того, як по-іншому поглянути на безпеку API за допомогою кількох методів атаки на API… як перевірити веб-API та як зловживати веб-додатками, які використовують API, щоб знайти ці помилки.
https://svyat.tech/guide-to-api-hacking
У цій статті ми обговоримо деякі основні поняття та ви отримаєте кілька порад щодо того, як почати тестувати API. Майте на увазі, що це лише посібник для початківців – про злом API можна дізнатися набагато більше, ніж те, що ми тут розглянемо. Я сподіваюся скерувати вас у правильному напрямку щодо того, як по-іншому поглянути на безпеку API за допомогою кількох методів атаки на API… як перевірити веб-API та як зловживати веб-додатками, які використовують API, щоб знайти ці помилки.
https://svyat.tech/guide-to-api-hacking
❤18👍4
ВЗЛОМ API ЧЕРЕЗ CURL
Деякі з вас використовували cURL при тестуванні додатків, а чи пробували ви трохи погратися з іншої сторони з ним? В цій статі покажу на скільки важливо робити такі перевірки на безпеку, так як часто знаходив вразливості API у традиційних веб-додатках і хочу поділитися з вами цією інформацією як це робити, а ви самі зрозумієте який вплив на бізнес виникає.
https://svyat.tech/vzlom-api-cherez-curl
Деякі з вас використовували cURL при тестуванні додатків, а чи пробували ви трохи погратися з іншої сторони з ним? В цій статі покажу на скільки важливо робити такі перевірки на безпеку, так як часто знаходив вразливості API у традиційних веб-додатках і хочу поділитися з вами цією інформацією як це робити, а ви самі зрозумієте який вплив на бізнес виникає.
https://svyat.tech/vzlom-api-cherez-curl
👍26🔥7❤2🤣1
API OWASP TOP 10 2023
Що таке безпека API? Основним елементом інновацій у сучасному світі, що керується додатками, є API. Від банків, роздрібної торгівлі та транспорту до Інтернету речей, автономних транспортних засобів і розумних домівок, API є важливою частиною сучасних мобільних, SaaS і веб-додатків, і їх можна знайти в клієнтських, партнерських і внутрішніх програмах. За своєю природою API розкривають логіку додатків і конфіденційні дані, такі як інформація, що дозволяє ідентифікувати особу, і через це все частіше стають мішенню для зловмисників. Без безпечних API швидкі інновації були б неможливі. Безпека API зосереджена на стратегіях і рішеннях для розуміння та пом’якшення унікальних уразливостей і ризиків безпеки інтерфейсів прикладного програмування (API).
https://svyat.tech/api-owasp-top-10
Що таке безпека API? Основним елементом інновацій у сучасному світі, що керується додатками, є API. Від банків, роздрібної торгівлі та транспорту до Інтернету речей, автономних транспортних засобів і розумних домівок, API є важливою частиною сучасних мобільних, SaaS і веб-додатків, і їх можна знайти в клієнтських, партнерських і внутрішніх програмах. За своєю природою API розкривають логіку додатків і конфіденційні дані, такі як інформація, що дозволяє ідентифікувати особу, і через це все частіше стають мішенню для зловмисників. Без безпечних API швидкі інновації були б неможливі. Безпека API зосереджена на стратегіях і рішеннях для розуміння та пом’якшення унікальних уразливостей і ризиків безпеки інтерфейсів прикладного програмування (API).
https://svyat.tech/api-owasp-top-10
👍15
Media is too big
VIEW IN TELEGRAM
Наглядний приклад процесу розпилу розробником моноліта на мікросервіси😂
🤣33
Пісочниця (Sandboxing) - ANY.RUN пропонує можливість завантажувати зразок шкідливого програмного забезпечення для аналізу, як і будь-яка онлайн-пісочниця. Також, сервіс пропонує дуже багату функціональність інтерактивного звіту, який містить багато інформації щодо зразка шкідливого програмного забезпечення.
Також, можна переглядати загальнодоступні зразки, надіслані користувачами ANY.RUN, щоб дослідити інформацію про нещодавно виявлене зловмисне програмне забезпечення або те, що зараз поширюється в Інтернеті.
[ https://app.any.run/ ]
Також, можна переглядати загальнодоступні зразки, надіслані користувачами ANY.RUN, щоб дослідити інформацію про нещодавно виявлене зловмисне програмне забезпечення або те, що зараз поширюється в Інтернеті.
[ https://app.any.run/ ]
app.any.run
Interactive Online Malware Analysis Sandbox - ANY.RUN
Cloud-based malware analysis service. Take your information security to the next level. Analyze suspicious and malicious activities using our innovative tools.
👍11❤1
Forwarded from QAMania (Oleksii Ostapov)
Привіт. Пам'ятаєте, ми збирали на дрон? І я писав, що от-от його доставлять.
Нажаль, виявилось, що мене (і не тільки мене) ошукали.
Описав ситуацію тут: https://dou.ua/forums/topic/46184/
Будьте обачніші і поширте інформацію про це в своїх соцмережах, будь ласка, бо, наскільки я розумію, ця мутна схема все ще не прикрита
Please open Telegram to view this post
VIEW IN TELEGRAM
DOU
Як мене кинули на дрон
Привіт спільното.
Вирішив поділитись капець якими неприємними новинами і попередити про шахраїв.
У вересні я оголосив збір на Mavic 3T для свого друга, колеги тестера. Гроші досить швидко зібрали і більшу частину суми закрили ми з друзями особисто. Плати
Вирішив поділитись капець якими неприємними новинами і попередити про шахраїв.
У вересні я оголосив збір на Mavic 3T для свого друга, колеги тестера. Гроші досить швидко зібрали і більшу частину суми закрили ми з друзями особисто. Плати
🤯30🤣2
This media is not supported in your browser
VIEW IN TELEGRAM
Mitaka
Розширення для Chrome та Firefox для пошуку за відкритими джерелами
Розширення Mitaka дозволяє проводити швидкий і легкий пошук IP-адрес, доменів, файлових хешів та URL-адрес з використанням безкоштовних ресурсів Open Source Intelligence (OSINT).
Для цього достатньо виділити необхідний об'єкт пошуку, натиснути правою кнопкою миші, навести вкладку розширення і вибрати ресурс для пошуку.
https://github.com/ninoseki/mitaka
Розширення для Chrome та Firefox для пошуку за відкритими джерелами
Розширення Mitaka дозволяє проводити швидкий і легкий пошук IP-адрес, доменів, файлових хешів та URL-адрес з використанням безкоштовних ресурсів Open Source Intelligence (OSINT).
Для цього достатньо виділити необхідний об'єкт пошуку, натиснути правою кнопкою миші, навести вкладку розширення і вибрати ресурс для пошуку.
https://github.com/ninoseki/mitaka
🔥19👍2
Awesome Hacking
Дивовижна колекція інструментів, літератури для хакерів, пентестерів і дослідників безпеки.
https://github.com/Hack-with-Github/Awesome-Hacking
Дивовижна колекція інструментів, літератури для хакерів, пентестерів і дослідників безпеки.
https://github.com/Hack-with-Github/Awesome-Hacking
🔥32