CHEAT SHEET Forgot password
Як правильно тестувати функціонал “Forgot Password”? 🔐
1️⃣ Посилання на скидання пароля: Переконайтеся, що воно має обмежений термін дії та не може використовуватися багаторазово.
2️⃣ Витік токена: Перевірте, чи токен для скидання пароля не передається в заголовку Referer або у відповіді сервера.
3️⃣ Маніпуляція параметрами: Перевірте можливість підміни електронної адреси в запиті на скидання пароля.
4️⃣ Верифікація: Переконайтеся, що підтвердження змін надсилається лише на електронну пошту або номер телефону власника акаунта.
5️⃣ Обмеження запитів: Функціонал повинен мати обмеження кількості запитів для запобігання спаму та атак на акаунти.
6️⃣ Перевірка існування акаунта: Переконайтеся, що система не видає інформацію про наявність або відсутність користувача через різні повідомлення.
7️⃣ Безпека токена: Токен має ставати недійсним після успішної зміни пароля або після зміни email-адреси.
https://svyat.tech/cheat-sheet-how-to-test-forgot-password
Як правильно тестувати функціонал “Forgot Password”? 🔐
1️⃣ Посилання на скидання пароля: Переконайтеся, що воно має обмежений термін дії та не може використовуватися багаторазово.
2️⃣ Витік токена: Перевірте, чи токен для скидання пароля не передається в заголовку Referer або у відповіді сервера.
3️⃣ Маніпуляція параметрами: Перевірте можливість підміни електронної адреси в запиті на скидання пароля.
4️⃣ Верифікація: Переконайтеся, що підтвердження змін надсилається лише на електронну пошту або номер телефону власника акаунта.
5️⃣ Обмеження запитів: Функціонал повинен мати обмеження кількості запитів для запобігання спаму та атак на акаунти.
6️⃣ Перевірка існування акаунта: Переконайтеся, що система не видає інформацію про наявність або відсутність користувача через різні повідомлення.
7️⃣ Безпека токена: Токен має ставати недійсним після успішної зміни пароля або після зміни email-адреси.
https://svyat.tech/cheat-sheet-how-to-test-forgot-password
❤37🔥15👍6
API Security Quick -Audit Checklist
У статті представлено швидкий контрольний список з кроками для аудиту безпеки API, який охоплює ключові аспекти захисту, такі як управління API-ключами, шифрування даних, захист від DoS-атак, CORS-конфігурація та перевірка введення. Також розглядаються процедури логування, обробки помилок, відповідності нормативним вимогам та інтеграції зі сторонніми API. Цей чекліст допомагає організаціям оцінити та покращити безпеку своїх API для запобігання витокам даних, атакам і компрометації систем.
https://svyat.tech/api-security-quick-audit-checklist
У статті представлено швидкий контрольний список з кроками для аудиту безпеки API, який охоплює ключові аспекти захисту, такі як управління API-ключами, шифрування даних, захист від DoS-атак, CORS-конфігурація та перевірка введення. Також розглядаються процедури логування, обробки помилок, відповідності нормативним вимогам та інтеграції зі сторонніми API. Цей чекліст допомагає організаціям оцінити та покращити безпеку своїх API для запобігання витокам даних, атакам і компрометації систем.
https://svyat.tech/api-security-quick-audit-checklist
👍16🔥16
Як перевірити трафік який йде по мережі за допомогою Wireshark
Wireshark – це один із найпопулярніших і найпотужніших інструментів для аналізу мережевого трафіку у світі. Він дозволяє глибоко моніторити та аналізувати мережевий трафік
https://svyat.tech/how-analysis-traffic-with-wireshark
Wireshark – це один із найпопулярніших і найпотужніших інструментів для аналізу мережевого трафіку у світі. Він дозволяє глибоко моніторити та аналізувати мережевий трафік
https://svyat.tech/how-analysis-traffic-with-wireshark
🔥24
5 часто використовуваних SSRF-навантажень
SSRF (Server-Side Request Forgery) – це вразливість веб-застосунку, яка дозволяє зловмиснику надсилати підроблені запити від імені самого сервера.
SSRF-пейлоади – це спеціально сформовані запити, які зловмисник впроваджує у вразливий веб-застосунок. SSRF-пейлоади можуть включати маніпуляції з URL-адресами, використання спеціальних схем (наприклад, file://, ftp://), експлойти протокольного smuggling, звернення до метаданих хмарних провайдерів та інші техніки для досягнення своїх цілей.
https://svyat.tech/5-ssrf-payload
SSRF (Server-Side Request Forgery) – це вразливість веб-застосунку, яка дозволяє зловмиснику надсилати підроблені запити від імені самого сервера.
SSRF-пейлоади – це спеціально сформовані запити, які зловмисник впроваджує у вразливий веб-застосунок. SSRF-пейлоади можуть включати маніпуляції з URL-адресами, використання спеціальних схем (наприклад, file://, ftp://), експлойти протокольного smuggling, звернення до метаданих хмарних провайдерів та інші техніки для досягнення своїх цілей.
https://svyat.tech/5-ssrf-payload
🔥8❤1👍1
Підбірка зразків шкідливих програм
❗️ОБЕРЕЖНО! Вони не деактивовані та становлять реальну загрозу. Не завантажуйте їх, якщо не впевнені у своїх діях. Використовуйте для досліджень лише в ізольованій програмні середовища, для прикладу в віртуальній машині.
1. theZoo https://github.com/ytisf/theZoo – активно поповнювана колекція шкідливих програм, зібрана спеціально для дослідників і фахівців з кібербезпеки.
2. Malware-Feed https://github.com/MalwareSamples/Malware-Feed – колекція шкідливих програм від virussamples.com.
3. vx-underground https://vx-underground.org/ – ще одна велика й постійно зростаюча колекція безкоштовних зразків шкідливих програм.
4. Malshare https://malshare.com/ – репозиторій, який, окрім зразків малварі, пропонує додаткові дані для YARA.
5. VirusShare https://virusshare.com/ – великий репозиторій шкідливих програм з обов’язковою реєстрацією.
6. The Malware Museum https://archive.org/details/malwaremuseum – віруси, які поширювалися у 1980-х і 1990-х роках. Практично нешкідливі у порівнянні з іншими зразками в цьому списку та мають радше історичну цінність.
❗️ОБЕРЕЖНО! Вони не деактивовані та становлять реальну загрозу. Не завантажуйте їх, якщо не впевнені у своїх діях. Використовуйте для досліджень лише в ізольованій програмні середовища, для прикладу в віртуальній машині.
1. theZoo https://github.com/ytisf/theZoo – активно поповнювана колекція шкідливих програм, зібрана спеціально для дослідників і фахівців з кібербезпеки.
2. Malware-Feed https://github.com/MalwareSamples/Malware-Feed – колекція шкідливих програм від virussamples.com.
3. vx-underground https://vx-underground.org/ – ще одна велика й постійно зростаюча колекція безкоштовних зразків шкідливих програм.
4. Malshare https://malshare.com/ – репозиторій, який, окрім зразків малварі, пропонує додаткові дані для YARA.
5. VirusShare https://virusshare.com/ – великий репозиторій шкідливих програм з обов’язковою реєстрацією.
6. The Malware Museum https://archive.org/details/malwaremuseum – віруси, які поширювалися у 1980-х і 1990-х роках. Практично нешкідливі у порівнянні з іншими зразками в цьому списку та мають радше історичну цінність.
GitHub
GitHub - ytisf/theZoo: A repository of LIVE malwares for your own joy and pleasure. theZoo is a project created to make the possibility…
A repository of LIVE malwares for your own joy and pleasure. theZoo is a project created to make the possibility of malware analysis open and available to the public. - ytisf/theZoo
🔥9❤3🤣2
This media is not supported in your browser
VIEW IN TELEGRAM
А ви запитуєте як підробити електроний підпис😂😅 Он впевнений користувач ПК
🤣43🤯3👍2
Обходимо 2 факторку, зберігаємо сесію в Python(requests) PortSwigger Лаба 16(Authentication)
Всім привіт! Продовжуємо відео про кібербезпеку. Тут будемо готуватися до сертифікату, переважно розв’язуючи лабораторні завдання. Authentication Вразливість.
https://www.youtube.com/watch?v=P9BuXqO44qA
Всім привіт! Продовжуємо відео про кібербезпеку. Тут будемо готуватися до сертифікату, переважно розв’язуючи лабораторні завдання. Authentication Вразливість.
https://www.youtube.com/watch?v=P9BuXqO44qA
👍20❤1
This media is not supported in your browser
VIEW IN TELEGRAM
А ви шукаєте відгуки і чим займається компанія перед відправкою резюме?😅
🤣39
Проєкт редакції DOU на честь загиблих айтівців у російсько-українській війні.
Тут зібрані короткі біографії військових, які віддали життя за Україну, а також цивільних, які загинули від рук росіян.
https://dou.ua/memorial/
Тут зібрані короткі біографії військових, які віддали життя за Україну, а також цивільних, які загинули від рук росіян.
https://dou.ua/memorial/
dou.ua
DOU — Меморіал IT-спільноти
Проєкт на честь загиблих айтівців у російсько-українській війні.Тут зібрані короткі біографії військових, які віддали життя за Україну, а також цивільних, які загинули від рук росіян.
🫡26❤11
Думаю всі зараз в великій смуті у звʼязку з останіми новинами, але рано копати помиральні ями.
Згадайте, це вже було у 2023 році, коли за порученям трампа - республіканці блокували аж пів року допомогу від Америки.
Саме головне це єдність і жага до життя.
Допомагайте нашим захисникам, данатьте на довірені волонтерські двіжі - вистоїмо!
Згадайте, це вже було у 2023 році, коли за порученям трампа - республіканці блокували аж пів року допомогу від Америки.
Саме головне це єдність і жага до життя.
Допомагайте нашим захисникам, данатьте на довірені волонтерські двіжі - вистоїмо!
👍33❤30
Хочете розпочати проводити тестування безпеки? Ось гайд
- OWASP Mobile Security Testing Guide – посібник від OWASP з тестування мобільних застосунків.
- OWASP Web Security Testing Guide – посібник від OWASP з тестування веб-застосунків.
- HowToHunt – туторіал і рекомендації щодо пошуку вразливостей.
- Pentest Book – корисна база знань із пентесту, сценаріїв проникнення та багато іншого.
- HackTricks – база знань CTF-гравця, де він ділиться хакерськими прийомами, техніками та всім, що дізнався на CTF, а також останніми дослідженнями та новинами.
- NIST SP 800-115 – керівництво від NIST із методологій тестування безпеки та проведення пентестів.
- Red Team Field Manual (RTFM) – кишенькова книга з корисними командами та техніками для Red Team і пентестерів.
- MITRE ATT&CK – база даних тактик, технік і процедур (TTPs), які використовуються в реальних атаках.
- OWASP Mobile Security Testing Guide – посібник від OWASP з тестування мобільних застосунків.
- OWASP Web Security Testing Guide – посібник від OWASP з тестування веб-застосунків.
- HowToHunt – туторіал і рекомендації щодо пошуку вразливостей.
- Pentest Book – корисна база знань із пентесту, сценаріїв проникнення та багато іншого.
- HackTricks – база знань CTF-гравця, де він ділиться хакерськими прийомами, техніками та всім, що дізнався на CTF, а також останніми дослідженнями та новинами.
- NIST SP 800-115 – керівництво від NIST із методологій тестування безпеки та проведення пентестів.
- Red Team Field Manual (RTFM) – кишенькова книга з корисними командами та техніками для Red Team і пентестерів.
- MITRE ATT&CK – база даних тактик, технік і процедур (TTPs), які використовуються в реальних атаках.
🔥35👍10❤5
Генератор команд SQLmap
Користуєтесь sqlmap для пошуту injection? Набридло писати самому команди щоб потім запустити?
Є рішення, закидуй просто все що треба перевірити в запиті і отримуй готовий правильно сформований скріпт.
https://acorzo1983.github.io/SQLMapCG/
Користуєтесь sqlmap для пошуту injection? Набридло писати самому команди щоб потім запустити?
Є рішення, закидуй просто все що треба перевірити в запиті і отримуй готовий правильно сформований скріпт.
https://acorzo1983.github.io/SQLMapCG/
👍20❤1
Відео курс Android pentest
https://www.youtube.com/watch?v=wceNGmfv0zk&list=PL1f72Oxv5SylOECx9M34pLZlNa7YkJJ14&index=14
https://www.youtube.com/watch?v=wceNGmfv0zk&list=PL1f72Oxv5SylOECx9M34pLZlNa7YkJJ14&index=14
❤21🔥7👍6
Курс Red Teaming
Цей відеокурс познайомить вас із червоною командою, ознайомить вас з застосуванням наступальної кібербезпеки. Ви також дізнаєтеся про ключові відмінності між Red Teaming і тестуванням на проникнення.
https://www.youtube.com/watch?v=rHxYZwMz-DY&list=PLBf0hzazHTGMjSlPmJ73Cydh9vCqxukCu&index=1
Цей відеокурс познайомить вас із червоною командою, ознайомить вас з застосуванням наступальної кібербезпеки. Ви також дізнаєтеся про ключові відмінності між Red Teaming і тестуванням на проникнення.
https://www.youtube.com/watch?v=rHxYZwMz-DY&list=PLBf0hzazHTGMjSlPmJ73Cydh9vCqxukCu&index=1
👍17❤7🔥4
Навчальний посібник "Безпека вебдодатків" – доступний українською мовою!
Я випустив посібник "Безпека вебдодатків".
📖 Що всередині посібника?
🔹 Основи веббезпеки: типи вебсистем, клієнт-серверна архітектура, модель OSI, шифрування
🔹 Контроль доступу: ідентифікація, аутентифікація, авторизація, управління сесіями
🔹 Захист від атак: XSS, CSRF, SQL-ін'єкції, XXE, SSRF, brute-force, DoS
🔹 Практичні аспекти: тестування безпеки, пентестинг (Nmap, Burp Suite, Metasploit)
🔹 Безпечне програмування: SDLC, моделювання загроз (STRIDE, PASTA), запобігання помилкам
🔹 Економічні аспекти веббезпеки та інвестування у кіберзахист
Посібник розроблено для бакалаврів "Кібербезпека та захист інформації", але буде корисним і для інших IT-спеціальностей.
📥 Завантажити безкоштовно:
🔗 https://eztuir.ztu.edu.ua/bitstream/handle/123456789/8791/Пірог.pdf?sequence=1&isAllowed=y
Я випустив посібник "Безпека вебдодатків".
📖 Що всередині посібника?
🔹 Основи веббезпеки: типи вебсистем, клієнт-серверна архітектура, модель OSI, шифрування
🔹 Контроль доступу: ідентифікація, аутентифікація, авторизація, управління сесіями
🔹 Захист від атак: XSS, CSRF, SQL-ін'єкції, XXE, SSRF, brute-force, DoS
🔹 Практичні аспекти: тестування безпеки, пентестинг (Nmap, Burp Suite, Metasploit)
🔹 Безпечне програмування: SDLC, моделювання загроз (STRIDE, PASTA), запобігання помилкам
🔹 Економічні аспекти веббезпеки та інвестування у кіберзахист
Посібник розроблено для бакалаврів "Кібербезпека та захист інформації", але буде корисним і для інших IT-спеціальностей.
📥 Завантажити безкоштовно:
🔗 https://eztuir.ztu.edu.ua/bitstream/handle/123456789/8791/Пірог.pdf?sequence=1&isAllowed=y
🔥61👍9❤5🤣1🫡1