JWT-Cracker

Це інструмент, призначений для зламування токенів. JWT - це стандартний формат токенів, який використовується для передачі між двома сторонами у вигляді JSON об'єктів. Вони часто використовуються для автентифікації та авторизації користувачів у веб-застосунках та API.

Даний інструмент дозволяє проводити брутфорс атаки за словниками на JWT, виявляти вразливість у їх структурі та контролювати безпеку додатків. При зламі такого токена є шанс отримати доступ до облікових даних користувачів.

https://github.com/lmammino/jwt-cracker

Всім привіт, тепер і я можу поділитися відео з відпрацюванням дронів по нашому ворогу, які я складав, ви фінансували, Social Drone перевіряв, та які були відправлені у третю штурмову бригаду. Яка зараз потребує допомоги в ремонті авто.

P.S. Це ті ж хлопці яким ми збирали на авто, але у них автівка почала сипатись від активного використання на передку в божевільних місцевостях. Просять допомогти зі збором на ремонт 30000 грн. Давайте допоможемо хлопцям.

https://send.monobank.ua/jar/4vSUnb87g4

Досі думаєш чи відкривати сили чи файли, які хтось тобі закидає?

Якщо ж все ж таки руки чухаються і все ж таки хочеш відкрити, то є рішення

Squarex - це безкоштовний інструмент для перевірки, безпечного перегляду сумнівних посилань або веб-ресурсів, можна також відкривати та аналізувати завантажених вами файлів, в тому числі документів, зображень, архівів, аудіо та відео файлів.

У нього є як установочна версія так і відаленна. Коли ви використовуєте у віддаленнному режимі, він використовує віддалені одноразові браузери та засоби перегляду файлів у хмарі, що дозволяє переглядати та відкривати будь-яке посилання чи документ, без страху бути зараженим шкідливим ПЗ.

https://public.sqrx.com/web/

Sniffnet

Це простий інструмент моніторингу трафіку, але корисний додаток, який дозволяє вам легко поглянути на свій мережевий трафік у режимі реального часу.

Функції інструменту:
• Перегляд графіків інтенсивності трафіку в режимі реального часу;
• Встановити спеціальні сповіщення, щоб інформувати вас про певні події в мережі;
• Перегляд релевантних підключень (найостанніші, більшість пакетів, більшість байтів);
• Збереження текстових звітів;
• Дозволяє вибрати стиль, який вам найбільше підходить, із 12 різних доступних тем, а також підтримку власних тем;
• Отримати інформацію про країну віддалених хостів (IP геолокація);
• Отримуйте подробиці про доменні імена та мережевих провайдерів хостів, з якими ви обмінюєтеся трафіком;

https://github.com/GyulyVGC/sniffnet?tab=readme-ov-file

А як у вас джуни поводяться в компанії, при виявлені трівіальної багуліни на проді?😅

Чергове навчальне відео від Індусів, тема: Як не перегоріти на роботі, дуже потужна настанова, яка збереже тебе😅

Де можна дивитись чи не злили вашу учотку з якоюсь базою даних, якогось сайта, де ви зареєстровані, окрім як https://haveibeenpwned.com/ ?

Так от можна дивитись ще на таких ресурсах:

- monitor mozilla
Тут ви можете в безкоштовному режимі відслідковувати 5 пошт, і не просто дивитись самому перевіряти, а налаштувати опопвіщення, що якщо десь зільють вашу учотку, то вам на пошту прийде повідомлення з цього сервісу, щоб ви змінили свої паролі доступу.
https://monitor.mozilla.org/

- One drive google
В гугловському сервісі, можна також відстежувати, але тільки гугл акаунт, інші пошти не можна відслідковувати.
https://one.google.com/u/0/dwr/dashboard?pli=1&g1_landing_page=0

- sherlockeye
або ось на такому платному, там конешно більше інфи ніж на безкоштовному, коштує 20 баксів на місяць.
https://sherlockeye.io/

Dangerzone

інструмент, який перевіряє та конвертує в безпечну версію різні файли, які можуть становити небезпеку і мати в собі якийсь вірусняк.

Можна завантажувати PDF, будь-які документи Microsoft Office та фотографії.

https://dangerzone.rocks/

Фінальний випуск першого сезону "Гугл не розкаже" - вже тут 🤝
Той самий випуск для рідних та друзів, які не шарять за кібербезпеку. Навіщо потрібна двохфакторна аутентифікація? Чи безпечно зберігати файли на Гугл Диску? Чому не можна пересилати скани документів через Вайбер або Телеграм? Ми разом з @s.login відповіли на ці та багато інших питань:
👉 Apple Podcasts: https://apple.co/3XwfDl6
👉 Google Podcasts: https://bit.ly/46vew9p
👉 Spotify: https://podcasters.spotify.com/pod/show/gugl-ne-rozkazhe/episodes/ep-e2iib65

Owasp-Amass

ЦЕ інструмент для аналізу сайтів, розроблений для автоматизації процесу збору інформації про цільові мережі з метою проведення тестування на проникнення.

Він надає широкий набір функцій, включаючи пошук піддоменів, пошук активних хостів, аналіз DNS-записів та інше.

Лінк на інструмент
https://github.com/owasp-amass/amass

Відео приклад використання
https://www.youtube.com/watch?v=2IsagoR9eCQ

Нарешті лінкедін підібрав мені ту саму вакансію мрії для якої я підходжу найкраще🥲😅

Хто там хотів на сертифікат по пентесту і хотів дізнатись, що треба знати для складання першого сертифікату?

Ось крутий опис від нашого Назарія, який слідкує в EVO за безпекою.

Так сказати літопис по гарячим слідам.

https://medium.com/@zavadanazar/ejpt-%D1%88%D0%BB%D1%8F%D1%85-%D0%B7%D0%B4%D0%B0%D1%87%D1%96-%D0%B5%D0%BA%D0%B7%D0%B0%D0%BC%D0%B5%D0%BD%D1%83-%D0%B0%D0%B1%D0%BE-how-to-pass-first-time-aa3b01165761

Cloudflare Bypass Script

Якщо ви використовуєте Selenium, ви могли помітити, що з ним неможливо обійти захист Cloudflare. Навіть якщо ви натиснете кнопку «Я не робот», ви все одно застрягнете на сторінці «Перевірка браузера перед доступом». Це пояснюється тим, що захист Cloudflare здатний виявляти інструменти автоматизації та блокувати їх, що нескінченно переміщує веб-драйвер на сторінку «Перевірка браузера перед доступом».

Як ви розумієте, сценарій використовує DrissionPage, який є контролером для самого браузера. Таким чином, браузер не розпізнається як веб-драйвер, а захист Cloudflare обійдеться.

https://github.com/sarperavci/CloudflareBypassForScraping

Чекліст на перевірку active directory

https://raw.githubusercontent.com/esidate/pentesting-active-directory/a8e37705542720cb1f9b65ec9039f67b70b61ca6/v2/pentesting_active_directory.noscript

RouterSploit

Це фреймворк для тестування на проникнення маршрутизатори та інші мережні пристрої. Він надає можливості для аналізу безпеки мережевих пристроїв, пошуку вразливостей та проведення атак на мережеві пристрої.

Тобто цей інструмент спеціалізується на тестуванні та аналізі вразливостей у мережних пристроях, допомагаючи підвищувати рівень безпеки мережі.

https://github.com/threat9/routersploit?tab=readme-ov-file

Personal Security Checklist

Це чек-лист, цілком і повністю присвячений приватності. Дізнайся за допомогою нього на скільки ти відповідаєш правилам приватності в мережі.

Сам чек-лист зручно розбитий на категорії, представлені на зображенні вище. Існують як обов'язкові, так і опціональні критерії оцінки софту або сервісу, яким ви користуєтеся.

Досить зручний і простий список, за допомогою якого можна оцінити будь-який продукт щодо приватності.

https://digital-defense.io/

А як ти розважаєш тих хто за тобою слідкує?

Blue-Team-Notes

Колекція з невеликих скриптів та деяких корисних порад для роботи у синій команді (команді захисників від кібератак).

Сюди. також входять скріншоти, де це можливо, щоб ви знали, що отримуєте при викрористані.

Ці нотатки допоможуть вам зловити супротивника, запобігти атакам або навіть просто допоможе вам вчитися.

https://github.com/Purp1eW0lf/Blue-Team-Notes