GUIDE TO API HACKING
У цій статті ми обговоримо деякі основні поняття та ви отримаєте кілька порад щодо того, як почати тестувати API. Майте на увазі, що це лише посібник для початківців – про злом API можна дізнатися набагато більше, ніж те, що ми тут розглянемо. Я сподіваюся скерувати вас у правильному напрямку щодо того, як по-іншому поглянути на безпеку API за допомогою кількох методів атаки на API… як перевірити веб-API та як зловживати веб-додатками, які використовують API, щоб знайти ці помилки.
https://svyat.tech/guide-to-api-hacking
У цій статті ми обговоримо деякі основні поняття та ви отримаєте кілька порад щодо того, як почати тестувати API. Майте на увазі, що це лише посібник для початківців – про злом API можна дізнатися набагато більше, ніж те, що ми тут розглянемо. Я сподіваюся скерувати вас у правильному напрямку щодо того, як по-іншому поглянути на безпеку API за допомогою кількох методів атаки на API… як перевірити веб-API та як зловживати веб-додатками, які використовують API, щоб знайти ці помилки.
https://svyat.tech/guide-to-api-hacking
❤18👍4
ВЗЛОМ API ЧЕРЕЗ CURL
Деякі з вас використовували cURL при тестуванні додатків, а чи пробували ви трохи погратися з іншої сторони з ним? В цій статі покажу на скільки важливо робити такі перевірки на безпеку, так як часто знаходив вразливості API у традиційних веб-додатках і хочу поділитися з вами цією інформацією як це робити, а ви самі зрозумієте який вплив на бізнес виникає.
https://svyat.tech/vzlom-api-cherez-curl
Деякі з вас використовували cURL при тестуванні додатків, а чи пробували ви трохи погратися з іншої сторони з ним? В цій статі покажу на скільки важливо робити такі перевірки на безпеку, так як часто знаходив вразливості API у традиційних веб-додатках і хочу поділитися з вами цією інформацією як це робити, а ви самі зрозумієте який вплив на бізнес виникає.
https://svyat.tech/vzlom-api-cherez-curl
👍26🔥7❤2🤣1
API OWASP TOP 10 2023
Що таке безпека API? Основним елементом інновацій у сучасному світі, що керується додатками, є API. Від банків, роздрібної торгівлі та транспорту до Інтернету речей, автономних транспортних засобів і розумних домівок, API є важливою частиною сучасних мобільних, SaaS і веб-додатків, і їх можна знайти в клієнтських, партнерських і внутрішніх програмах. За своєю природою API розкривають логіку додатків і конфіденційні дані, такі як інформація, що дозволяє ідентифікувати особу, і через це все частіше стають мішенню для зловмисників. Без безпечних API швидкі інновації були б неможливі. Безпека API зосереджена на стратегіях і рішеннях для розуміння та пом’якшення унікальних уразливостей і ризиків безпеки інтерфейсів прикладного програмування (API).
https://svyat.tech/api-owasp-top-10
Що таке безпека API? Основним елементом інновацій у сучасному світі, що керується додатками, є API. Від банків, роздрібної торгівлі та транспорту до Інтернету речей, автономних транспортних засобів і розумних домівок, API є важливою частиною сучасних мобільних, SaaS і веб-додатків, і їх можна знайти в клієнтських, партнерських і внутрішніх програмах. За своєю природою API розкривають логіку додатків і конфіденційні дані, такі як інформація, що дозволяє ідентифікувати особу, і через це все частіше стають мішенню для зловмисників. Без безпечних API швидкі інновації були б неможливі. Безпека API зосереджена на стратегіях і рішеннях для розуміння та пом’якшення унікальних уразливостей і ризиків безпеки інтерфейсів прикладного програмування (API).
https://svyat.tech/api-owasp-top-10
👍15
Media is too big
VIEW IN TELEGRAM
Наглядний приклад процесу розпилу розробником моноліта на мікросервіси😂
🤣33
Пісочниця (Sandboxing) - ANY.RUN пропонує можливість завантажувати зразок шкідливого програмного забезпечення для аналізу, як і будь-яка онлайн-пісочниця. Також, сервіс пропонує дуже багату функціональність інтерактивного звіту, який містить багато інформації щодо зразка шкідливого програмного забезпечення.
Також, можна переглядати загальнодоступні зразки, надіслані користувачами ANY.RUN, щоб дослідити інформацію про нещодавно виявлене зловмисне програмне забезпечення або те, що зараз поширюється в Інтернеті.
[ https://app.any.run/ ]
Також, можна переглядати загальнодоступні зразки, надіслані користувачами ANY.RUN, щоб дослідити інформацію про нещодавно виявлене зловмисне програмне забезпечення або те, що зараз поширюється в Інтернеті.
[ https://app.any.run/ ]
app.any.run
Interactive Online Malware Analysis Sandbox - ANY.RUN
Cloud-based malware analysis service. Take your information security to the next level. Analyze suspicious and malicious activities using our innovative tools.
👍11❤1
Forwarded from QAMania (Oleksii Ostapov)
Привіт. Пам'ятаєте, ми збирали на дрон? І я писав, що от-от його доставлять.
Нажаль, виявилось, що мене (і не тільки мене) ошукали.
Описав ситуацію тут: https://dou.ua/forums/topic/46184/
Будьте обачніші і поширте інформацію про це в своїх соцмережах, будь ласка, бо, наскільки я розумію, ця мутна схема все ще не прикрита
Please open Telegram to view this post
VIEW IN TELEGRAM
DOU
Як мене кинули на дрон
Привіт спільното.
Вирішив поділитись капець якими неприємними новинами і попередити про шахраїв.
У вересні я оголосив збір на Mavic 3T для свого друга, колеги тестера. Гроші досить швидко зібрали і більшу частину суми закрили ми з друзями особисто. Плати
Вирішив поділитись капець якими неприємними новинами і попередити про шахраїв.
У вересні я оголосив збір на Mavic 3T для свого друга, колеги тестера. Гроші досить швидко зібрали і більшу частину суми закрили ми з друзями особисто. Плати
🤯30🤣2
This media is not supported in your browser
VIEW IN TELEGRAM
Mitaka
Розширення для Chrome та Firefox для пошуку за відкритими джерелами
Розширення Mitaka дозволяє проводити швидкий і легкий пошук IP-адрес, доменів, файлових хешів та URL-адрес з використанням безкоштовних ресурсів Open Source Intelligence (OSINT).
Для цього достатньо виділити необхідний об'єкт пошуку, натиснути правою кнопкою миші, навести вкладку розширення і вибрати ресурс для пошуку.
https://github.com/ninoseki/mitaka
Розширення для Chrome та Firefox для пошуку за відкритими джерелами
Розширення Mitaka дозволяє проводити швидкий і легкий пошук IP-адрес, доменів, файлових хешів та URL-адрес з використанням безкоштовних ресурсів Open Source Intelligence (OSINT).
Для цього достатньо виділити необхідний об'єкт пошуку, натиснути правою кнопкою миші, навести вкладку розширення і вибрати ресурс для пошуку.
https://github.com/ninoseki/mitaka
🔥19👍2
Awesome Hacking
Дивовижна колекція інструментів, літератури для хакерів, пентестерів і дослідників безпеки.
https://github.com/Hack-with-Github/Awesome-Hacking
Дивовижна колекція інструментів, літератури для хакерів, пентестерів і дослідників безпеки.
https://github.com/Hack-with-Github/Awesome-Hacking
🔥32
Як популяризувати цифрову грамотність? Розповідає Інтерньюз-Україна 🏆
нарешті, 7 випуск "Гугл не розкаже"! Розібрали, з якими кібербезпековими проблемами стикаються українські медіа, як працює гаряча лінія Nadiyno та хто з міжнародних організацій допомагає підвищувати цифрову грамотність в Україні.
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/episode/4IYzF7ss5Qton7yvIwhEDN?si=g1Mh4wNDSbSZ6jUx1lN_1Q
нарешті, 7 випуск "Гугл не розкаже"! Розібрали, з якими кібербезпековими проблемами стикаються українські медіа, як працює гаряча лінія Nadiyno та хто з міжнародних організацій допомагає підвищувати цифрову грамотність в Україні.
Послухати можна за посиланнями:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/episode/4IYzF7ss5Qton7yvIwhEDN?si=g1Mh4wNDSbSZ6jUx1lN_1Q
🔥6🤣1
Розповсюджені вразливості в API
в понеділок робив доповідь про вразливості в API, ось відос
та преза https://docs.google.com/presentation/d/1OGfA7RbuSWZactZ0-wfs2ZCJBCYhQZgpUSWf4gsYk6E/edit#slide=id.g252a66433a0_0_388
https://www.youtube.com/watch?v=VDmQtbptV9Y
в понеділок робив доповідь про вразливості в API, ось відос
та преза https://docs.google.com/presentation/d/1OGfA7RbuSWZactZ0-wfs2ZCJBCYhQZgpUSWf4gsYk6E/edit#slide=id.g252a66433a0_0_388
https://www.youtube.com/watch?v=VDmQtbptV9Y
Google Docs
API OWASP TOP 10
Вразливості API
❤13🔥10👍3
Remote Code Execution (RCE) не є чимось особливим для вивчення, можливість або є або її немає. Коли знайдено вразливий ендпоінт який можна експлуатувати, техніка експлуатації бувало досить незручною з огляду на взаємодію лише через обмежені можливості отримання відповіді у доволі незручних місцях.
На допомогу існує p0wny@shell [https://github.com/flozz/p0wny-shell]
Все, що вам треба, завантажити p0wny та тачку і викликати його (типу pentestmonkey). Далі ви отримуєте ну майже повний функціональний термінал, навіть із підтримкою табуляції та історії введених команд, якщо натупили із буквами.
На допомогу існує p0wny@shell [https://github.com/flozz/p0wny-shell]
Все, що вам треба, завантажити p0wny та тачку і викликати його (типу pentestmonkey). Далі ви отримуєте ну майже повний функціональний термінал, навіть із підтримкою табуляції та історії введених команд, якщо натупили із буквами.
GitHub
GitHub - flozz/p0wny-shell: Single-file PHP shell
Single-file PHP shell. Contribute to flozz/p0wny-shell development by creating an account on GitHub.
🔥3
Пошукові запити Shodan.io
Тут зібраний дуже великий асортимент цікавих, смішних і навіть депресивних пошукових запитів, щоб використати їх у Shodan - пошукової системи пристроїв, підключених до інтернету. Деякі повертають результати пльові вразливості, а деякі повертають серйозні та/або давні вразливості в дикій природі.
https://github.com/jakejarvis/awesome-shodan-queries
Тут зібраний дуже великий асортимент цікавих, смішних і навіть депресивних пошукових запитів, щоб використати їх у Shodan - пошукової системи пристроїв, підключених до інтернету. Деякі повертають результати пльові вразливості, а деякі повертають серйозні та/або давні вразливості в дикій природі.
https://github.com/jakejarvis/awesome-shodan-queries
👍6
Hash cymru
Сервіс, який дозволяє перевірити хеші на наявність у базах даних різних антивірусних програм та служб безпеки. Також він надає API.
https://hash.cymru.com/
Сервіс, який дозволяє перевірити хеші на наявність у базах даних різних антивірусних програм та служб безпеки. Також він надає API.
https://hash.cymru.com/
🤔8
Cloud Security Scans
CloudSploit — це проект із відкритим вихідним кодом, призначений для виявлення ризиків безпеки в облікових записах хмарної інфраструктури, зокрема: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) і GitHub. Ці сценарії розроблено для знаходження серії потенційних неправильних конфігурацій і ризиків в безпеці.
https://github.com/aquasecurity/cloudsploit
CloudSploit — це проект із відкритим вихідним кодом, призначений для виявлення ризиків безпеки в облікових записах хмарної інфраструктури, зокрема: Amazon Web Services (AWS), Microsoft Azure, Google Cloud Platform (GCP), Oracle Cloud Infrastructure (OCI) і GitHub. Ці сценарії розроблено для знаходження серії потенційних неправильних конфігурацій і ризиків в безпеці.
https://github.com/aquasecurity/cloudsploit
🔥13
А що там по інструментам для роботи в кібербезпеці? Як обирати, на що дивитися? Краще платні чи безплатні? Ми спитали у експертів з lifecell та Yalantis, і ось що вийшло:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/episode/0kkxExmJY6TSV3NmNnALWy?si=B6ufCrYORQW_aOyBg--E_Q
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://open.spotify.com/episode/0kkxExmJY6TSV3NmNnALWy?si=B6ufCrYORQW_aOyBg--E_Q
🔥10👍2
Відео курс по фішингу
Для того, щоб розуміти як боротися з такими засранцями, треба розуміти як вони це роблять.
https://mega.nz/folder/5g92yJoD#27k3xn8gwV4wrx4gzJoHSg
Для того, щоб розуміти як боротися з такими засранцями, треба розуміти як вони це роблять.
https://mega.nz/folder/5g92yJoD#27k3xn8gwV4wrx4gzJoHSg
👍23🤯3🔥1
APT Notes (Атаки)
APT-атака (Advanced Persistent Threat) – це цільова тривала атака підвищеної складності, (може відбуватися місяцями , а то і роками для успішного виконання) завданням якої є виявлення на пристрої користувача секретної, конфіденційної чи будь-якої цінної інформації та використання її у заплутаних кіберзлочинах.
В цьому архіві містяться різні публічні документи, офіційні документи та статті про цільові кібератаки (APT).
https://github.com/kbandla/APTnotes
APT-атака (Advanced Persistent Threat) – це цільова тривала атака підвищеної складності, (може відбуватися місяцями , а то і роками для успішного виконання) завданням якої є виявлення на пристрої користувача секретної, конфіденційної чи будь-якої цінної інформації та використання її у заплутаних кіберзлочинах.
В цьому архіві містяться різні публічні документи, офіційні документи та статті про цільові кібератаки (APT).
https://github.com/kbandla/APTnotes
🔥14👍1
BlackFriday GPTs Prompts And Jailbreaks
Колекція з 7000+ ChatGPT промтів під різні завдання, у тому числі зняття обмежень на запити у штучного інтелекту.
https://github.com/friuns2/BlackFriday-GPTs-Prompts
Колекція з 7000+ ChatGPT промтів під різні завдання, у тому числі зняття обмежень на запити у штучного інтелекту.
https://github.com/friuns2/BlackFriday-GPTs-Prompts
🔥10👍9❤1
Швидкий старт penetration testing
Оцінка вразливості при тестуванні на проникнення отримали високі результати, особливо це видно за останні пару років. Організації часто мають складну мережу активів, що зберігають конфіденційні дані. Такі активи вразливі до потенційні загрози як зсередини, так і ззовні організації. Отримання огляду стану безпеки організації, в наш час, є особливо важливою цілю для успішних компаній.
https://svyat.tech/shvidkij-start-penetration-testing
Оцінка вразливості при тестуванні на проникнення отримали високі результати, особливо це видно за останні пару років. Організації часто мають складну мережу активів, що зберігають конфіденційні дані. Такі активи вразливі до потенційні загрози як зсередини, так і ззовні організації. Отримання огляду стану безпеки організації, в наш час, є особливо важливою цілю для успішних компаній.
https://svyat.tech/shvidkij-start-penetration-testing
🔥19🤣1