Методології неетичного хакерства

Лонгрід, але дуже корисний лонгрід, всі знають хто за мною стежить, що я подаю інформацію завжди зі сторони вайтхету, як бути етичним хацкером, як правильно себе поводити і не наносити шкоди.

Але в цілях навчального матеріалу, щоб ви розуміли дії та напрямки хакерів, вирішив викласти інформацію від одного американського блекхета, який розповів про НЕ етичний хакінг, 9 шляхів як можна робити атаки як поганець, з прикладами коду для шкідливого програмного забезпечення, програм через які можна робити атаки.

1.Методологія хакінгу
2.Віддалений хакінг
3.Metasploit – рішення для тестування на проникнення
5.Методології Реверс інженерії
6.Розуміння криптографії та блокчейну
7. Експлуатація Wi-Fi
8.Атаки та захист у соціальних мережах
9 Даркнет & Кардінг


Тому раджу прочитати, матеріал дуже цікавий

https://svyat.tech/metodologiyi-neetichnogo-hakerstva

Кожен раз як я хочу взяти в роботу задачу на тестування, але постійно заважають різні обставини😅

DetectDee

Відстеження акаунтів у соціальних мережах за іменем користувача, електронною поштою або телефоном у соціальних мережах.

Пошук акаунтів у соціальних мережах за іменем користувача, електронною поштою або телефоном у соціальних мережах.

⏺ Включає сайти, які часто використовуються фахівцями з кібербезпеки
⏺ Пошук акаунтів у соціальних мережах за іменем користувача, електронною поштою або телефоном
⏺ Точне керування потоками та кастомні заголовки запитів використовуються для уникнення розпізнавання WAF
⏺ Зручний, простий і легкий у використанні шаблон
⏺ Інтеграція мобільних версій сайтів соціальних мереж

https://github.com/piaolin/DetectDee/tree/main

До пʼятничного, вечірнього релізу приготувався

Привіт, ще залишилось 3 місця☝️ і 2 тижні до початку. А тим часом до нового року залишилось 2 дні, напевно всі вже підготували новорічний реліз?

Автор молодець, не зупиняється творити гарний український контент і тепер розглядає:

PortSwigger Лабораторна 6(SSRF) Обходимо Blacklist через кодування. Python, BurpSuit.

Продовжуємо відео про кібербезпеку. Тут будемо готуватися до сертифікату, переважно розв’язуючи лабораторні завдання. SSRF Вразливості.

https://www.youtube.com/watch?v=eiIjWaRG2A8

🎉✨ Дорогі читачі та підписчики цього каналу! ✨🎉

Поки всі ще взмозі прочитати текст, привітаю вас з наступаючим 2025 роком! 🎄

Минає ще один не лейгкий для нашої країни рік – який прокачав нас і дав зробити ще один крок до вашої мети: бути тими, хто стоїть на сторожі кібербезпеки в ваших компаніях або стати тими ким ви стали на даний момент.

Нехай наступний 2025 рік принесе в першу чергу перемогу над рашистами, а особисто вам нові знання, більше практичних викликів, цікавих змагань та успішних звітів про знайдені баги! 🕵️‍♂️💻

Бажаю вам впевненості, терпіння та натхнення, щоб продовжувати свій шлях. Нехай кожен ваш сканер знайде вразливість, а кожен експлойт спрацює ідеально. І головне – пам’ятайте: кожна спроба, навіть невдала, наближає вас до справжньої майстерності! 🚀

З наступаючим Новим роком, кібергерої! Нехай ваші знання стануть вашим найсильнішим інструментом, а 2025 рік – роком проривів і великих перемог! 🛡️✨

🥂 За нові зломи, нові виклики та вашу безмежну допитливість! 🥂

Сьогоднішній допис про корисні списки (Wordlists) для брутфорсу чи то розвідки.
PayloadsAllTheThings - це впринципі добре відомий ресурс для Web Application Security and Pentest/CTF, важко щось додати від себе.
SecLists - ресурс значно більший і ширший у застосуванні в порівнянні із PayloadsAllTheThings.
Assetnote Wordlists - це подібно до SecLists але із досить зручним інтерфейсом.
Успішного усім та ефективного брутфорсу й розвідки, звісно лише в легальних цілях 😎 і з метою навчання 👨‍🎓

Метрик багато не буває, особливо якщо це мотиваційні метрики😂🤣

WebSocket Checker

Розширення Burp Suite для пошуку конфіденційної інформації шляхом перевірки вхідних текстових або двійкових повідомлень websocket.

Працює в безкоштовній версії.

https://github.com/0xAwali/WebSocketChecker

FPV Battleground on Steam

Трішки про гру
FPV Battleground – це динамічний симулятор управління FPV дронами, з реалістичною фізикою. Гравці отримують можливість керувати дронами від першої особи, маневруючи з максимальною точністю та ефективністю. Ваше завдання – знищувати техніку супротивника, використовуючи всі можливості FPV-дронів.

Для навчальних центрів ЗСУ МО та інших структур і підрозділів Сил оборони України надаємо симулятор на безоплатній основі, будь яким зручним для них способом.

https://store.steampowered.com/app/3273420/FPV_Battleground/

Як виглядає звичайний день в нашому відділі розробки😅 Головне перекинути задачку на когось іншого та знайти виного хто цю задачу засре🤣😂

PortSwigger Лаба 11 та 12(Path Traversal) Автоматизуємо діставання користувачів з сервера. PYTHON

Всім привіт! Продовжуємо відео про кібербезпеку. Тут будемо готуватися до сертифікату, переважно розв’язуючи лабораторні завдання. Path Traversal Вразливості.

https://www.youtube.com/watch?v=9mu6BWuj9og

CHEAT SHEET Forgot password

Як правильно тестувати функціонал “Forgot Password”? 🔐

1️⃣ Посилання на скидання пароля: Переконайтеся, що воно має обмежений термін дії та не може використовуватися багаторазово.

2️⃣ Витік токена: Перевірте, чи токен для скидання пароля не передається в заголовку Referer або у відповіді сервера.

3️⃣ Маніпуляція параметрами: Перевірте можливість підміни електронної адреси в запиті на скидання пароля.

4️⃣ Верифікація: Переконайтеся, що підтвердження змін надсилається лише на електронну пошту або номер телефону власника акаунта.

5️⃣ Обмеження запитів: Функціонал повинен мати обмеження кількості запитів для запобігання спаму та атак на акаунти.

6️⃣ Перевірка існування акаунта: Переконайтеся, що система не видає інформацію про наявність або відсутність користувача через різні повідомлення.

7️⃣ Безпека токена: Токен має ставати недійсним після успішної зміни пароля або після зміни email-адреси.

https://svyat.tech/cheat-sheet-how-to-test-forgot-password

API Security Quick -Audit Checklist

У статті представлено швидкий контрольний список з кроками для аудиту безпеки API, який охоплює ключові аспекти захисту, такі як управління API-ключами, шифрування даних, захист від DoS-атак, CORS-конфігурація та перевірка введення. Також розглядаються процедури логування, обробки помилок, відповідності нормативним вимогам та інтеграції зі сторонніми API. Цей чекліст допомагає організаціям оцінити та покращити безпеку своїх API для запобігання витокам даних, атакам і компрометації систем.

https://svyat.tech/api-security-quick-audit-checklist

Як перевірити трафік який йде по мережі за допомогою Wireshark

Wireshark – це один із найпопулярніших і найпотужніших інструментів для аналізу мережевого трафіку у світі. Він дозволяє глибоко моніторити та аналізувати мережевий трафік

https://svyat.tech/how-analysis-traffic-with-wireshark

Як змінювалось коло мого спілкування за 4 роки. І тут постає питання, то коли в качку засунуть ЧатГПТ, щоб вже все спілкування було в одному місці😅

5 часто використовуваних SSRF-навантажень

SSRF (Server-Side Request Forgery) – це вразливість веб-застосунку, яка дозволяє зловмиснику надсилати підроблені запити від імені самого сервера.

SSRF-пейлоади – це спеціально сформовані запити, які зловмисник впроваджує у вразливий веб-застосунок. SSRF-пейлоади можуть включати маніпуляції з URL-адресами, використання спеціальних схем (наприклад, file://, ftp://), експлойти протокольного smuggling, звернення до метаданих хмарних провайдерів та інші техніки для досягнення своїх цілей.

https://svyat.tech/5-ssrf-payload

Підбірка зразків шкідливих програм

❗️ОБЕРЕЖНО! Вони не деактивовані та становлять реальну загрозу. Не завантажуйте їх, якщо не впевнені у своїх діях. Використовуйте для досліджень лише в ізольованій програмні середовища, для прикладу в віртуальній машині.

1. theZoo https://github.com/ytisf/theZoo – активно поповнювана колекція шкідливих програм, зібрана спеціально для дослідників і фахівців з кібербезпеки.

2. Malware-Feed https://github.com/MalwareSamples/Malware-Feed – колекція шкідливих програм від virussamples.com.

3. vx-underground https://vx-underground.org/ – ще одна велика й постійно зростаюча колекція безкоштовних зразків шкідливих програм.

4. Malshare https://malshare.com/ – репозиторій, який, окрім зразків малварі, пропонує додаткові дані для YARA.

5. VirusShare https://virusshare.com/ – великий репозиторій шкідливих програм з обов’язковою реєстрацією.

6. The Malware Museum https://archive.org/details/malwaremuseum – віруси, які поширювалися у 1980-х і 1990-х роках. Практично нешкідливі у порівнянні з іншими зразками в цьому списку та мають радше історичну цінність.