Метрик багато не буває, особливо якщо це мотиваційні метрики😂🤣

WebSocket Checker

Розширення Burp Suite для пошуку конфіденційної інформації шляхом перевірки вхідних текстових або двійкових повідомлень websocket.

Працює в безкоштовній версії.

https://github.com/0xAwali/WebSocketChecker

FPV Battleground on Steam

Трішки про гру
FPV Battleground – це динамічний симулятор управління FPV дронами, з реалістичною фізикою. Гравці отримують можливість керувати дронами від першої особи, маневруючи з максимальною точністю та ефективністю. Ваше завдання – знищувати техніку супротивника, використовуючи всі можливості FPV-дронів.

Для навчальних центрів ЗСУ МО та інших структур і підрозділів Сил оборони України надаємо симулятор на безоплатній основі, будь яким зручним для них способом.

https://store.steampowered.com/app/3273420/FPV_Battleground/

Як виглядає звичайний день в нашому відділі розробки😅 Головне перекинути задачку на когось іншого та знайти виного хто цю задачу засре🤣😂

PortSwigger Лаба 11 та 12(Path Traversal) Автоматизуємо діставання користувачів з сервера. PYTHON

Всім привіт! Продовжуємо відео про кібербезпеку. Тут будемо готуватися до сертифікату, переважно розв’язуючи лабораторні завдання. Path Traversal Вразливості.

https://www.youtube.com/watch?v=9mu6BWuj9og

CHEAT SHEET Forgot password

Як правильно тестувати функціонал “Forgot Password”? 🔐

1️⃣ Посилання на скидання пароля: Переконайтеся, що воно має обмежений термін дії та не може використовуватися багаторазово.

2️⃣ Витік токена: Перевірте, чи токен для скидання пароля не передається в заголовку Referer або у відповіді сервера.

3️⃣ Маніпуляція параметрами: Перевірте можливість підміни електронної адреси в запиті на скидання пароля.

4️⃣ Верифікація: Переконайтеся, що підтвердження змін надсилається лише на електронну пошту або номер телефону власника акаунта.

5️⃣ Обмеження запитів: Функціонал повинен мати обмеження кількості запитів для запобігання спаму та атак на акаунти.

6️⃣ Перевірка існування акаунта: Переконайтеся, що система не видає інформацію про наявність або відсутність користувача через різні повідомлення.

7️⃣ Безпека токена: Токен має ставати недійсним після успішної зміни пароля або після зміни email-адреси.

https://svyat.tech/cheat-sheet-how-to-test-forgot-password

API Security Quick -Audit Checklist

У статті представлено швидкий контрольний список з кроками для аудиту безпеки API, який охоплює ключові аспекти захисту, такі як управління API-ключами, шифрування даних, захист від DoS-атак, CORS-конфігурація та перевірка введення. Також розглядаються процедури логування, обробки помилок, відповідності нормативним вимогам та інтеграції зі сторонніми API. Цей чекліст допомагає організаціям оцінити та покращити безпеку своїх API для запобігання витокам даних, атакам і компрометації систем.

https://svyat.tech/api-security-quick-audit-checklist

Як перевірити трафік який йде по мережі за допомогою Wireshark

Wireshark – це один із найпопулярніших і найпотужніших інструментів для аналізу мережевого трафіку у світі. Він дозволяє глибоко моніторити та аналізувати мережевий трафік

https://svyat.tech/how-analysis-traffic-with-wireshark

Як змінювалось коло мого спілкування за 4 роки. І тут постає питання, то коли в качку засунуть ЧатГПТ, щоб вже все спілкування було в одному місці😅

5 часто використовуваних SSRF-навантажень

SSRF (Server-Side Request Forgery) – це вразливість веб-застосунку, яка дозволяє зловмиснику надсилати підроблені запити від імені самого сервера.

SSRF-пейлоади – це спеціально сформовані запити, які зловмисник впроваджує у вразливий веб-застосунок. SSRF-пейлоади можуть включати маніпуляції з URL-адресами, використання спеціальних схем (наприклад, file://, ftp://), експлойти протокольного smuggling, звернення до метаданих хмарних провайдерів та інші техніки для досягнення своїх цілей.

https://svyat.tech/5-ssrf-payload

Підбірка зразків шкідливих програм

❗️ОБЕРЕЖНО! Вони не деактивовані та становлять реальну загрозу. Не завантажуйте їх, якщо не впевнені у своїх діях. Використовуйте для досліджень лише в ізольованій програмні середовища, для прикладу в віртуальній машині.

1. theZoo https://github.com/ytisf/theZoo – активно поповнювана колекція шкідливих програм, зібрана спеціально для дослідників і фахівців з кібербезпеки.

2. Malware-Feed https://github.com/MalwareSamples/Malware-Feed – колекція шкідливих програм від virussamples.com.

3. vx-underground https://vx-underground.org/ – ще одна велика й постійно зростаюча колекція безкоштовних зразків шкідливих програм.

4. Malshare https://malshare.com/ – репозиторій, який, окрім зразків малварі, пропонує додаткові дані для YARA.

5. VirusShare https://virusshare.com/ – великий репозиторій шкідливих програм з обов’язковою реєстрацією.

6. The Malware Museum https://archive.org/details/malwaremuseum – віруси, які поширювалися у 1980-х і 1990-х роках. Практично нешкідливі у порівнянні з іншими зразками в цьому списку та мають радше історичну цінність.

А ви запитуєте як підробити електроний підпис😂😅 Он впевнений користувач ПК

Обходимо 2 факторку, зберігаємо сесію в Python(requests) PortSwigger Лаба 16(Authentication)

Всім привіт! Продовжуємо відео про кібербезпеку. Тут будемо готуватися до сертифікату, переважно розв’язуючи лабораторні завдання. Authentication Вразливість.

https://www.youtube.com/watch?v=P9BuXqO44qA

За кулісами зйомок фільму "Один вдома", Дональд Фредорович також наїхав на Маколея Калкіна.

А ви шукаєте відгуки і чим займається компанія перед відправкою резюме?😅

Проєкт редакції DOU на честь загиблих айтівців у російсько-українській війні.

Тут зібрані короткі біографії військових, які віддали життя за Україну, а також цивільних, які загинули від рук росіян.

https://dou.ua/memorial/

Думаю всі зараз в великій смуті у звʼязку з останіми новинами, але рано копати помиральні ями.

Згадайте, це вже було у 2023 році, коли за порученям трампа - республіканці блокували аж пів року допомогу від Америки.

Саме головне це єдність і жага до життя.

Допомагайте нашим захисникам, данатьте на довірені волонтерські двіжі - вистоїмо!

Хочете розпочати проводити тестування безпеки? Ось гайд

- OWASP Mobile Security Testing Guide – посібник від OWASP з тестування мобільних застосунків.

- OWASP Web Security Testing Guide – посібник від OWASP з тестування веб-застосунків.

- HowToHunt – туторіал і рекомендації щодо пошуку вразливостей.

- Pentest Book – корисна база знань із пентесту, сценаріїв проникнення та багато іншого.

- HackTricks – база знань CTF-гравця, де він ділиться хакерськими прийомами, техніками та всім, що дізнався на CTF, а також останніми дослідженнями та новинами.

- NIST SP 800-115 – керівництво від NIST із методологій тестування безпеки та проведення пентестів.

- Red Team Field Manual (RTFM) – кишенькова книга з корисними командами та техніками для Red Team і пентестерів.

- MITRE ATT&CK – база даних тактик, технік і процедур (TTPs), які використовуються в реальних атаках.