🎉✨ Дорогі читачі та підписчики цього каналу! ✨🎉
Поки всі ще взмозі прочитати текст, привітаю вас з наступаючим 2025 роком! 🎄
Минає ще один не лейгкий для нашої країни рік – який прокачав нас і дав зробити ще один крок до вашої мети: бути тими, хто стоїть на сторожі кібербезпеки в ваших компаніях або стати тими ким ви стали на даний момент.
Нехай наступний 2025 рік принесе в першу чергу перемогу над рашистами, а особисто вам нові знання, більше практичних викликів, цікавих змагань та успішних звітів про знайдені баги! 🕵️♂️💻
Бажаю вам впевненості, терпіння та натхнення, щоб продовжувати свій шлях. Нехай кожен ваш сканер знайде вразливість, а кожен експлойт спрацює ідеально. І головне – пам’ятайте: кожна спроба, навіть невдала, наближає вас до справжньої майстерності! 🚀
З наступаючим Новим роком, кібергерої! Нехай ваші знання стануть вашим найсильнішим інструментом, а 2025 рік – роком проривів і великих перемог! 🛡️✨
🥂 За нові зломи, нові виклики та вашу безмежну допитливість! 🥂
Поки всі ще взмозі прочитати текст, привітаю вас з наступаючим 2025 роком! 🎄
Минає ще один не лейгкий для нашої країни рік – який прокачав нас і дав зробити ще один крок до вашої мети: бути тими, хто стоїть на сторожі кібербезпеки в ваших компаніях або стати тими ким ви стали на даний момент.
Нехай наступний 2025 рік принесе в першу чергу перемогу над рашистами, а особисто вам нові знання, більше практичних викликів, цікавих змагань та успішних звітів про знайдені баги! 🕵️♂️💻
Бажаю вам впевненості, терпіння та натхнення, щоб продовжувати свій шлях. Нехай кожен ваш сканер знайде вразливість, а кожен експлойт спрацює ідеально. І головне – пам’ятайте: кожна спроба, навіть невдала, наближає вас до справжньої майстерності! 🚀
З наступаючим Новим роком, кібергерої! Нехай ваші знання стануть вашим найсильнішим інструментом, а 2025 рік – роком проривів і великих перемог! 🛡️✨
🥂 За нові зломи, нові виклики та вашу безмежну допитливість! 🥂
❤44
Сьогоднішній допис про корисні списки (Wordlists) для брутфорсу чи то розвідки.
PayloadsAllTheThings - це впринципі добре відомий ресурс для Web Application Security and Pentest/CTF, важко щось додати від себе.
SecLists - ресурс значно більший і ширший у застосуванні в порівнянні із PayloadsAllTheThings.
Assetnote Wordlists - це подібно до SecLists але із досить зручним інтерфейсом.
Успішного усім та ефективного брутфорсу й розвідки, звісно лише в легальних цілях 😎 і з метою навчання 👨🎓
PayloadsAllTheThings - це впринципі добре відомий ресурс для Web Application Security and Pentest/CTF, важко щось додати від себе.
SecLists - ресурс значно більший і ширший у застосуванні в порівнянні із PayloadsAllTheThings.
Assetnote Wordlists - це подібно до SecLists але із досить зручним інтерфейсом.
Успішного усім та ефективного брутфорсу й розвідки, звісно лише в легальних цілях 😎 і з метою навчання 👨🎓
GitHub
GitHub - swisskyrepo/PayloadsAllTheThings: A list of useful payloads and bypass for Web Application Security and Pentest/CTF
A list of useful payloads and bypass for Web Application Security and Pentest/CTF - swisskyrepo/PayloadsAllTheThings
🔥9❤3👍2
Media is too big
VIEW IN TELEGRAM
Метрик багато не буває, особливо якщо це мотиваційні метрики😂🤣
🤣28👍1
Розширення Burp Suite PyCript
Це розширення Burp Suite, яке дозволяє обходити шифрування на стороні клієнта.
За його допомогою можна легко шифрувати та дешифрувати запити, що дозволяє обходити заходи безпеки.
Можливості PyCript:
1) Шифрування та дешифрування вибраних рядків із запитів та відповідей.
2) Перегляд і зміна зашифрованих запитів.
3) Дешифрування кількох запитів.
4) Проведення сканування за допомогою Burp Scanner, SQL Map, брутфорс із використанням Intruder та інших автоматизованих операцій.
5) Автоматичне шифрування запитів “на льоту”.
6) Повна свобода у створенні логіки шифрування та дешифрування.
https://github.com/Anof-cyber/PyCript
Це розширення Burp Suite, яке дозволяє обходити шифрування на стороні клієнта.
За його допомогою можна легко шифрувати та дешифрувати запити, що дозволяє обходити заходи безпеки.
Можливості PyCript:
1) Шифрування та дешифрування вибраних рядків із запитів та відповідей.
2) Перегляд і зміна зашифрованих запитів.
3) Дешифрування кількох запитів.
4) Проведення сканування за допомогою Burp Scanner, SQL Map, брутфорс із використанням Intruder та інших автоматизованих операцій.
5) Автоматичне шифрування запитів “на льоту”.
6) Повна свобода у створенні логіки шифрування та дешифрування.
https://github.com/Anof-cyber/PyCript
👍11🔥6🤔3❤1
WebSocket Checker
Розширення Burp Suite для пошуку конфіденційної інформації шляхом перевірки вхідних текстових або двійкових повідомлень websocket.
Працює в безкоштовній версії.
https://github.com/0xAwali/WebSocketChecker
Розширення Burp Suite для пошуку конфіденційної інформації шляхом перевірки вхідних текстових або двійкових повідомлень websocket.
Працює в безкоштовній версії.
https://github.com/0xAwali/WebSocketChecker
👍11❤2🔥1
FPV Battleground on Steam
Трішки про гру
FPV Battleground – це динамічний симулятор управління FPV дронами, з реалістичною фізикою. Гравці отримують можливість керувати дронами від першої особи, маневруючи з максимальною точністю та ефективністю. Ваше завдання – знищувати техніку супротивника, використовуючи всі можливості FPV-дронів.
Для навчальних центрів ЗСУ МО та інших структур і підрозділів Сил оборони України надаємо симулятор на безоплатній основі, будь яким зручним для них способом.
https://store.steampowered.com/app/3273420/FPV_Battleground/
Трішки про гру
FPV Battleground – це динамічний симулятор управління FPV дронами, з реалістичною фізикою. Гравці отримують можливість керувати дронами від першої особи, маневруючи з максимальною точністю та ефективністю. Ваше завдання – знищувати техніку супротивника, використовуючи всі можливості FPV-дронів.
Для навчальних центрів ЗСУ МО та інших структур і підрозділів Сил оборони України надаємо симулятор на безоплатній основі, будь яким зручним для них способом.
https://store.steampowered.com/app/3273420/FPV_Battleground/
❤17
Media is too big
VIEW IN TELEGRAM
Як виглядає звичайний день в нашому відділі розробки😅 Головне перекинути задачку на когось іншого та знайти виного хто цю задачу засре🤣😂
🤣17👍1
PortSwigger Лаба 11 та 12(Path Traversal) Автоматизуємо діставання користувачів з сервера. PYTHON
Всім привіт! Продовжуємо відео про кібербезпеку. Тут будемо готуватися до сертифікату, переважно розв’язуючи лабораторні завдання. Path Traversal Вразливості.
https://www.youtube.com/watch?v=9mu6BWuj9og
Всім привіт! Продовжуємо відео про кібербезпеку. Тут будемо готуватися до сертифікату, переважно розв’язуючи лабораторні завдання. Path Traversal Вразливості.
https://www.youtube.com/watch?v=9mu6BWuj9og
YouTube
PortSwigger Лаба 11 та 12(Path Traversal) Автоматизуємо діставання користувачів з сервера. PYTHON
Всім привіт! Продовжуємо відео про кібербезпеку. Тут будемо готуватися до сертифікату, переважно розв’язуючи лабораторні завдання. Path Traversal Вразливості.
Ці лабораторні не є хакерством, а є навчальним матеріалом, що виконується виключно в тестовому…
Ці лабораторні не є хакерством, а є навчальним матеріалом, що виконується виключно в тестовому…
👍11❤3
CHEAT SHEET Forgot password
Як правильно тестувати функціонал “Forgot Password”? 🔐
1️⃣ Посилання на скидання пароля: Переконайтеся, що воно має обмежений термін дії та не може використовуватися багаторазово.
2️⃣ Витік токена: Перевірте, чи токен для скидання пароля не передається в заголовку Referer або у відповіді сервера.
3️⃣ Маніпуляція параметрами: Перевірте можливість підміни електронної адреси в запиті на скидання пароля.
4️⃣ Верифікація: Переконайтеся, що підтвердження змін надсилається лише на електронну пошту або номер телефону власника акаунта.
5️⃣ Обмеження запитів: Функціонал повинен мати обмеження кількості запитів для запобігання спаму та атак на акаунти.
6️⃣ Перевірка існування акаунта: Переконайтеся, що система не видає інформацію про наявність або відсутність користувача через різні повідомлення.
7️⃣ Безпека токена: Токен має ставати недійсним після успішної зміни пароля або після зміни email-адреси.
https://svyat.tech/cheat-sheet-how-to-test-forgot-password
Як правильно тестувати функціонал “Forgot Password”? 🔐
1️⃣ Посилання на скидання пароля: Переконайтеся, що воно має обмежений термін дії та не може використовуватися багаторазово.
2️⃣ Витік токена: Перевірте, чи токен для скидання пароля не передається в заголовку Referer або у відповіді сервера.
3️⃣ Маніпуляція параметрами: Перевірте можливість підміни електронної адреси в запиті на скидання пароля.
4️⃣ Верифікація: Переконайтеся, що підтвердження змін надсилається лише на електронну пошту або номер телефону власника акаунта.
5️⃣ Обмеження запитів: Функціонал повинен мати обмеження кількості запитів для запобігання спаму та атак на акаунти.
6️⃣ Перевірка існування акаунта: Переконайтеся, що система не видає інформацію про наявність або відсутність користувача через різні повідомлення.
7️⃣ Безпека токена: Токен має ставати недійсним після успішної зміни пароля або після зміни email-адреси.
https://svyat.tech/cheat-sheet-how-to-test-forgot-password
❤37🔥15👍6
API Security Quick -Audit Checklist
У статті представлено швидкий контрольний список з кроками для аудиту безпеки API, який охоплює ключові аспекти захисту, такі як управління API-ключами, шифрування даних, захист від DoS-атак, CORS-конфігурація та перевірка введення. Також розглядаються процедури логування, обробки помилок, відповідності нормативним вимогам та інтеграції зі сторонніми API. Цей чекліст допомагає організаціям оцінити та покращити безпеку своїх API для запобігання витокам даних, атакам і компрометації систем.
https://svyat.tech/api-security-quick-audit-checklist
У статті представлено швидкий контрольний список з кроками для аудиту безпеки API, який охоплює ключові аспекти захисту, такі як управління API-ключами, шифрування даних, захист від DoS-атак, CORS-конфігурація та перевірка введення. Також розглядаються процедури логування, обробки помилок, відповідності нормативним вимогам та інтеграції зі сторонніми API. Цей чекліст допомагає організаціям оцінити та покращити безпеку своїх API для запобігання витокам даних, атакам і компрометації систем.
https://svyat.tech/api-security-quick-audit-checklist
👍16🔥16
Як перевірити трафік який йде по мережі за допомогою Wireshark
Wireshark – це один із найпопулярніших і найпотужніших інструментів для аналізу мережевого трафіку у світі. Він дозволяє глибоко моніторити та аналізувати мережевий трафік
https://svyat.tech/how-analysis-traffic-with-wireshark
Wireshark – це один із найпопулярніших і найпотужніших інструментів для аналізу мережевого трафіку у світі. Він дозволяє глибоко моніторити та аналізувати мережевий трафік
https://svyat.tech/how-analysis-traffic-with-wireshark
🔥24
5 часто використовуваних SSRF-навантажень
SSRF (Server-Side Request Forgery) – це вразливість веб-застосунку, яка дозволяє зловмиснику надсилати підроблені запити від імені самого сервера.
SSRF-пейлоади – це спеціально сформовані запити, які зловмисник впроваджує у вразливий веб-застосунок. SSRF-пейлоади можуть включати маніпуляції з URL-адресами, використання спеціальних схем (наприклад, file://, ftp://), експлойти протокольного smuggling, звернення до метаданих хмарних провайдерів та інші техніки для досягнення своїх цілей.
https://svyat.tech/5-ssrf-payload
SSRF (Server-Side Request Forgery) – це вразливість веб-застосунку, яка дозволяє зловмиснику надсилати підроблені запити від імені самого сервера.
SSRF-пейлоади – це спеціально сформовані запити, які зловмисник впроваджує у вразливий веб-застосунок. SSRF-пейлоади можуть включати маніпуляції з URL-адресами, використання спеціальних схем (наприклад, file://, ftp://), експлойти протокольного smuggling, звернення до метаданих хмарних провайдерів та інші техніки для досягнення своїх цілей.
https://svyat.tech/5-ssrf-payload
🔥8❤1👍1
Підбірка зразків шкідливих програм
❗️ОБЕРЕЖНО! Вони не деактивовані та становлять реальну загрозу. Не завантажуйте їх, якщо не впевнені у своїх діях. Використовуйте для досліджень лише в ізольованій програмні середовища, для прикладу в віртуальній машині.
1. theZoo https://github.com/ytisf/theZoo – активно поповнювана колекція шкідливих програм, зібрана спеціально для дослідників і фахівців з кібербезпеки.
2. Malware-Feed https://github.com/MalwareSamples/Malware-Feed – колекція шкідливих програм від virussamples.com.
3. vx-underground https://vx-underground.org/ – ще одна велика й постійно зростаюча колекція безкоштовних зразків шкідливих програм.
4. Malshare https://malshare.com/ – репозиторій, який, окрім зразків малварі, пропонує додаткові дані для YARA.
5. VirusShare https://virusshare.com/ – великий репозиторій шкідливих програм з обов’язковою реєстрацією.
6. The Malware Museum https://archive.org/details/malwaremuseum – віруси, які поширювалися у 1980-х і 1990-х роках. Практично нешкідливі у порівнянні з іншими зразками в цьому списку та мають радше історичну цінність.
❗️ОБЕРЕЖНО! Вони не деактивовані та становлять реальну загрозу. Не завантажуйте їх, якщо не впевнені у своїх діях. Використовуйте для досліджень лише в ізольованій програмні середовища, для прикладу в віртуальній машині.
1. theZoo https://github.com/ytisf/theZoo – активно поповнювана колекція шкідливих програм, зібрана спеціально для дослідників і фахівців з кібербезпеки.
2. Malware-Feed https://github.com/MalwareSamples/Malware-Feed – колекція шкідливих програм від virussamples.com.
3. vx-underground https://vx-underground.org/ – ще одна велика й постійно зростаюча колекція безкоштовних зразків шкідливих програм.
4. Malshare https://malshare.com/ – репозиторій, який, окрім зразків малварі, пропонує додаткові дані для YARA.
5. VirusShare https://virusshare.com/ – великий репозиторій шкідливих програм з обов’язковою реєстрацією.
6. The Malware Museum https://archive.org/details/malwaremuseum – віруси, які поширювалися у 1980-х і 1990-х роках. Практично нешкідливі у порівнянні з іншими зразками в цьому списку та мають радше історичну цінність.
GitHub
GitHub - ytisf/theZoo: A repository of LIVE malwares for your own joy and pleasure. theZoo is a project created to make the possibility…
A repository of LIVE malwares for your own joy and pleasure. theZoo is a project created to make the possibility of malware analysis open and available to the public. - ytisf/theZoo
🔥9❤3🤣2
This media is not supported in your browser
VIEW IN TELEGRAM
А ви запитуєте як підробити електроний підпис😂😅 Он впевнений користувач ПК
🤣43🤯3👍2
Обходимо 2 факторку, зберігаємо сесію в Python(requests) PortSwigger Лаба 16(Authentication)
Всім привіт! Продовжуємо відео про кібербезпеку. Тут будемо готуватися до сертифікату, переважно розв’язуючи лабораторні завдання. Authentication Вразливість.
https://www.youtube.com/watch?v=P9BuXqO44qA
Всім привіт! Продовжуємо відео про кібербезпеку. Тут будемо готуватися до сертифікату, переважно розв’язуючи лабораторні завдання. Authentication Вразливість.
https://www.youtube.com/watch?v=P9BuXqO44qA
👍20❤1
This media is not supported in your browser
VIEW IN TELEGRAM
А ви шукаєте відгуки і чим займається компанія перед відправкою резюме?😅
🤣39
Проєкт редакції DOU на честь загиблих айтівців у російсько-українській війні.
Тут зібрані короткі біографії військових, які віддали життя за Україну, а також цивільних, які загинули від рук росіян.
https://dou.ua/memorial/
Тут зібрані короткі біографії військових, які віддали життя за Україну, а також цивільних, які загинули від рук росіян.
https://dou.ua/memorial/
dou.ua
DOU — Меморіал IT-спільноти
Проєкт на честь загиблих айтівців у російсько-українській війні.Тут зібрані короткі біографії військових, які віддали життя за Україну, а також цивільних, які загинули від рук росіян.
🫡26❤11