Headerpwn
Фазер для аналізу реакції серверів на різні заголовки HTTP.
Цей інструмент зроблений для пошуку аномалій та аналізу того, як сервери реагують на різні HTTP-заголовки.
Він може надати цінну інформацію про потенційні ризики безпеки та неправильну конфігурацію.
Може інтегруватись з Burp Suite для єдиного інтерфейсу в проведені пентесту.
Запуск командою
Фазер для аналізу реакції серверів на різні заголовки HTTP.
Цей інструмент зроблений для пошуку аномалій та аналізу того, як сервери реагують на різні HTTP-заголовки.
Він може надати цінну інформацію про потенційні ризики безпеки та неправильну конфігурацію.
Може інтегруватись з Burp Suite для єдиного інтерфейсу в проведені пентесту.
Запуск командою
headerpwn -url https://example.com -headers my_headers.txt
https://github.com/devanshbatham/headerpwn👍20
Так як курсу не буде, бо група не зібралась, то закидую хоча б літературу OWASP Top 10 for LLM Applications, тут зібрані всі критичні точки які ви маєте переглянути в запроваджені безпечного використання LLM.
https://owasp.org/www-project-top-10-for-large-language-model-applications/assets/PDF/OWASP-Top-10-for-LLMs-v2025.pdf
https://owasp.org/www-project-top-10-for-large-language-model-applications/assets/PDF/OWASP-Top-10-for-LLMs-v2025.pdf
❤48👍6🤣4🤔1
Всілякі лабораторії хмарних серверів від iknowjason, 2025
Безкоштовні навчальні лабораторії з хмарної безпеки. Включає CTF, самостійні семінари, керовані лабораторії з вразливостей та дослідницькі лабораторії.
Доречі, мало б бути також на нашому курсі(
Що там є:
📌 AWS;
📌 Azure;
📌 GCP;
📌 Kubernetes;
📌 Контейнер;
📌 Terraform;
📌 Дослідницькі лабораторії;
📌 CI/CD.
https://github.com/4ndersonLin/awesome-cloud-security
Безкоштовні навчальні лабораторії з хмарної безпеки. Включає CTF, самостійні семінари, керовані лабораторії з вразливостей та дослідницькі лабораторії.
Доречі, мало б бути також на нашому курсі(
Що там є:
📌 AWS;
📌 Azure;
📌 GCP;
📌 Kubernetes;
📌 Контейнер;
📌 Terraform;
📌 Дослідницькі лабораторії;
📌 CI/CD.
https://github.com/4ndersonLin/awesome-cloud-security
❤15👍3
Безкоштовний курс по AI - https://academy.tcm-sec.com/p/ai-100-fundamentals
Сама платформа націлена на курси по безпеці, але цей може бути цікавим усім, хто використовує LLM.
Сама платформа націлена на курси по безпеці, але цей може бути цікавим усім, хто використовує LLM.
Tcm-Sec
AI 100: Fundamentals - TCM Security Academy
Learn how artificial intelligence models work by learning about Large Language Models and neural networks.
🔥26
Media is too big
VIEW IN TELEGRAM
Коли у мене запитують на роботі, які в мене задачі на тиждень)))
🤣17👍2
Image Whisperer
Новий ШІ-інструмент, який не просто дивиться на ваші медіафайли, а буквально «читає їх думки». Підтягує гугл-фактчек, веб-пошук, реверсивні пошуковики, метадані й навіть має свій вбудований «детектор брехні» для картинок (вгадав 8 із 10 зображень — і це без кави). А ще він настільки уважний, що відразу покаже, де були «підмальовані зуби», «підкручені очі» або «притюнінговане авто». Ну, знаєте, класичний набір.
Локацію зйомки теж визначає, причому йому вистачить навіть скромних деталей: панельна стеля, самотня лампочка без абажура чи форма батареї. У підсумку він може не тільки знайти правильний регіон, а й натякнути, в якій країні ви так майстерно робили селфі.
Плюс, Image Whisperer аналізує окремі об’єкти: ви показуєте — він розповідає. І робить це без фантастичних вигадок, лише по суті (якщо фото не зроблене на «калькулятор», звісно).
https://imagewhisperer.org/
Новий ШІ-інструмент, який не просто дивиться на ваші медіафайли, а буквально «читає їх думки». Підтягує гугл-фактчек, веб-пошук, реверсивні пошуковики, метадані й навіть має свій вбудований «детектор брехні» для картинок (вгадав 8 із 10 зображень — і це без кави). А ще він настільки уважний, що відразу покаже, де були «підмальовані зуби», «підкручені очі» або «притюнінговане авто». Ну, знаєте, класичний набір.
Локацію зйомки теж визначає, причому йому вистачить навіть скромних деталей: панельна стеля, самотня лампочка без абажура чи форма батареї. У підсумку він може не тільки знайти правильний регіон, а й натякнути, в якій країні ви так майстерно робили селфі.
Плюс, Image Whisperer аналізує окремі об’єкти: ви показуєте — він розповідає. І робить це без фантастичних вигадок, лише по суті (якщо фото не зроблене на «калькулятор», звісно).
https://imagewhisperer.org/
👍12❤2🤯2🔥1
Хочете зробити вигляд бурної діяльності у вас на компі перед шефом?
Є рішення - Онлайн-симулятор хакера
Почніть друкувати випадковий текст, щоб імітувати зламування комп'ютерної системи
https://pranx.com/hacker/
Є рішення - Онлайн-симулятор хакера
Почніть друкувати випадковий текст, щоб імітувати зламування комп'ютерної системи
https://pranx.com/hacker/
🤣34🔥4❤1
Credential Dumping_DCSync Attack_2025.pdf
2.4 MB
Злив облікових даних: DCSync-атака
Атака DCSync для зливу облікових даних в Active Directory — це спеціалізована техніка, яку використовують зловмисники для витягування облікових даних із контролера домену (DC), імітуючи поведінку самого контролера домену.
🛠 Налаштування лабораторного середовища для симуляції атаки
📚 Розуміння протоколу DRS і механіки атаки
🔍 Чому такі некоректні конфігурації трапляються в реальному житті
💣 Використання помилкової конфігурації для атаки
🗺 Відображення атаки на MITRE ATT&CK
👁 Виявлення атаки
🛡 Стратегії пом’якшення (мітігації)
👁 Налаштування лабораторії
Вимоги:
• Віртуалізоване середовище (наприклад, VMware, VirtualBox або Hyper-V).
• Windows Server, налаштований як контролер домену.
• Клієнтська машина Windows.
• Інструменти: Impacket, Mimikatz, Netexec і Metasploit.
Атака DCSync для зливу облікових даних в Active Directory — це спеціалізована техніка, яку використовують зловмисники для витягування облікових даних із контролера домену (DC), імітуючи поведінку самого контролера домену.
🛠 Налаштування лабораторного середовища для симуляції атаки
📚 Розуміння протоколу DRS і механіки атаки
🔍 Чому такі некоректні конфігурації трапляються в реальному житті
💣 Використання помилкової конфігурації для атаки
🗺 Відображення атаки на MITRE ATT&CK
👁 Виявлення атаки
🛡 Стратегії пом’якшення (мітігації)
👁 Налаштування лабораторії
Вимоги:
• Віртуалізоване середовище (наприклад, VMware, VirtualBox або Hyper-V).
• Windows Server, налаштований як контролер домену.
• Клієнтська машина Windows.
• Інструменти: Impacket, Mimikatz, Netexec і Metasploit.
🔥11❤1👍1
Захоплення акаунту через OAuth вразливості. Burp Suite. LabPortswigger лабораторна 34.
Всім привіт! Продовжуємо відео про кібербезпеку. У цьому відео ми продовжуємо практикуватись з OAuth.
https://www.youtube.com/watch?v=3PtR2AmgWpo&feature=youtu.be
Всім привіт! Продовжуємо відео про кібербезпеку. У цьому відео ми продовжуємо практикуватись з OAuth.
https://www.youtube.com/watch?v=3PtR2AmgWpo&feature=youtu.be
❤22🔥3👍2
🔐 Awesome Open Source
Категорія Security — це велике зібрання відкритих проектів, інструментів та бібліотек, пов’язаних із безпекою в ІТ. 
Що можна знайти там?
- Класифікація за тематичними напрямками (наприклад: authentication, cryptography, vulnerability scanning, penetration testing, encryption, secure by default тощо) 
- Посилання на різні open-source рішення: фреймворки, утиліти, бібліотеки й інструменти, які допомагають в питаннях безпеки
Чому це корисно?
- Для розробників — можливість швидко знайти готові та перевірені рішення з безпеки
- Для команд DevSecOps й спеціалістів з інформаційної безпеки — як довідник ідей для інструментів, які можна інтегрувати
- Для навчання — хороша база для дослідження різноманітних напрямків у сфері security
https://awesomeopensource.com/categories/security
Категорія Security — це велике зібрання відкритих проектів, інструментів та бібліотек, пов’язаних із безпекою в ІТ. 
Що можна знайти там?
- Класифікація за тематичними напрямками (наприклад: authentication, cryptography, vulnerability scanning, penetration testing, encryption, secure by default тощо) 
- Посилання на різні open-source рішення: фреймворки, утиліти, бібліотеки й інструменти, які допомагають в питаннях безпеки
Чому це корисно?
- Для розробників — можливість швидко знайти готові та перевірені рішення з безпеки
- Для команд DevSecOps й спеціалістів з інформаційної безпеки — як довідник ідей для інструментів, які можна інтегрувати
- Для навчання — хороша база для дослідження різноманітних напрямків у сфері security
https://awesomeopensource.com/categories/security
🔥17
🕵️♂️ OpenCTI платформа кіберрозвідки з відкритим кодом
Це потужний інструмент для збору, аналізу та візуалізації даних про кіберзагрози.
Він допомагає організаціям будувати єдину базу знань про загрози, відстежувати взаємозв’язки між атакуючими групами, техніками MITRE ATT&CK, індикаторами компрометації (IoC) та інцидентами.
Що вміє:
•Інтеграції з десятками джерел (MISP, VirusTotal, CrowdStrike, AlienVault, тощо)
•Графічні зв’язки між об’єктами розвідки
•Підтримка стандартів STIX 2.1 та TAXII
•Автоматизація обміну розвідувальною інформацією
•Ролі, API та масштабування для великих команд
Використовується аналітиками SOC, CERT, DFIR та threat intelligence-командами по всьому світу.
https://github.com/OpenCTI-Platform/opencti
Це потужний інструмент для збору, аналізу та візуалізації даних про кіберзагрози.
Він допомагає організаціям будувати єдину базу знань про загрози, відстежувати взаємозв’язки між атакуючими групами, техніками MITRE ATT&CK, індикаторами компрометації (IoC) та інцидентами.
Що вміє:
•Інтеграції з десятками джерел (MISP, VirusTotal, CrowdStrike, AlienVault, тощо)
•Графічні зв’язки між об’єктами розвідки
•Підтримка стандартів STIX 2.1 та TAXII
•Автоматизація обміну розвідувальною інформацією
•Ролі, API та масштабування для великих команд
Використовується аналітиками SOC, CERT, DFIR та threat intelligence-командами по всьому світу.
https://github.com/OpenCTI-Platform/opencti
🔥6❤3
Media is too big
VIEW IN TELEGRAM
А що ви робите коли закінчились безкоштовні запити в ChatGPT?
🤣39❤1🔥1🤯1
OSINT Handbook
Це систематизований індекс з понад 5 000 посилань у 34 категоріях, присвячених інструментам і ресурсам відкритої розвідки. 
Це — не просто перелік, а корисний навігатор для тих, хто працює з відкритими джерелами даних, аналітикою, розслідуваннями та інформаційною безпекою.
🚀 Що можна знайти всередині?
• Каталог інструментів пошуку (соціальні мережі, архіви, мета-пошук тощо)
• Ресурси для перевірки зображень, геолокації, метаданих
• Інструменти для аналітики соціальних мереж
• Рекомендації з етики та безпеки при використанні OSINT
• Посилання, які допоможуть доповнити власну “технічну карту” інструментів
https://www.osinthandbook.com/
Це систематизований індекс з понад 5 000 посилань у 34 категоріях, присвячених інструментам і ресурсам відкритої розвідки. 
Це — не просто перелік, а корисний навігатор для тих, хто працює з відкритими джерелами даних, аналітикою, розслідуваннями та інформаційною безпекою.
🚀 Що можна знайти всередині?
• Каталог інструментів пошуку (соціальні мережі, архіви, мета-пошук тощо)
• Ресурси для перевірки зображень, геолокації, метаданих
• Інструменти для аналітики соціальних мереж
• Рекомендації з етики та безпеки при використанні OSINT
• Посилання, які допоможуть доповнити власну “технічну карту” інструментів
https://www.osinthandbook.com/
❤8👍3🔥1
Awesome-Application-Security-Checklist
Репозиторій від Mahdi Mashrur — це готовий чек-лист найважливіших заходів безпеки при розробці, створенні та тестуванні веб і мобільних додатків. 
🛡 Чому варто подивитися?
• Охоплює ключові теми: аутентифікація, авторизація, база даних, мобільні додатки, налаштування безпеки сервера й хмари. 
• Ма зірки від спільноти (понад 600) — означає, що іншим розробникам це справді корисно. 
• Чітко сформульовані рекомендації: наприклад, використання HTTPS усюди, хешування паролів Bcrypt, обмеження спроб входу, підготовлені SQL-запити тощо. 
https://github.com/MahdiMashrur/Awesome-Application-Security-Checklist
Репозиторій від Mahdi Mashrur — це готовий чек-лист найважливіших заходів безпеки при розробці, створенні та тестуванні веб і мобільних додатків. 
🛡 Чому варто подивитися?
• Охоплює ключові теми: аутентифікація, авторизація, база даних, мобільні додатки, налаштування безпеки сервера й хмари. 
• Ма зірки від спільноти (понад 600) — означає, що іншим розробникам це справді корисно. 
• Чітко сформульовані рекомендації: наприклад, використання HTTPS усюди, хешування паролів Bcrypt, обмеження спроб входу, підготовлені SQL-запити тощо. 
https://github.com/MahdiMashrur/Awesome-Application-Security-Checklist
❤18👍2🔥1
Malfrats Industries Map
Ідеальний інструмент для дослідників, аналітиків SOC, threat-hunters і всіх, хто цікавиться кіберрозвідкою.
На відміну від цього інструменту продовжує апдейтитись osintframework.com
https://map.malfrats.industries/
Ідеальний інструмент для дослідників, аналітиків SOC, threat-hunters і всіх, хто цікавиться кіберрозвідкою.
На відміну від цього інструменту продовжує апдейтитись osintframework.com
https://map.malfrats.industries/
🔥7❤1
Perplexica
Шукаєте альтернативу комерційним пошуковим AI? Перевірте Perplexica, повністю приватне рішення, яке можна запускати локально та підключати до власних моделей і хмарних API.
Чому варто:
• Працює «на своїх» даних і локально — контролюєте приватність. 
• Підтримує роботу з різними AI-провайдерами: локальні LLM через Ollama або хмари (Claude, Gemini, etc). 
• Має функції: веб-пошук (через SearxNG), завантаження файлів для аналізу, обмеження доменів пошуку.
Запускається з однієї команди
docker run -d -p 3000:3000 -v perplexica-data:/home/perplexica/data \
-v perplexica-uploads:/home/perplexica/uploads --name perplexica \
itzcrazykns1337/perplexica:latest
https://github.com/ItzCrazyKns/Perplexica
Шукаєте альтернативу комерційним пошуковим AI? Перевірте Perplexica, повністю приватне рішення, яке можна запускати локально та підключати до власних моделей і хмарних API.
Чому варто:
• Працює «на своїх» даних і локально — контролюєте приватність. 
• Підтримує роботу з різними AI-провайдерами: локальні LLM через Ollama або хмари (Claude, Gemini, etc). 
• Має функції: веб-пошук (через SearxNG), завантаження файлів для аналізу, обмеження доменів пошуку.
Запускається з однієї команди
docker run -d -p 3000:3000 -v perplexica-data:/home/perplexica/data \
-v perplexica-uploads:/home/perplexica/uploads --name perplexica \
itzcrazykns1337/perplexica:latest
https://github.com/ItzCrazyKns/Perplexica
❤6
100 проектів Red Team для пентестерів та мережевих менеджерів
Хочеш прокачати навички offensive security або просто розважитись корисним кодом — обов’язково глянь цей репозиторій: тут перелік ~100 ідей для проєктів — від простих TCP-серверів до розробки payload’ів та інструментів для пост-експлуатації. 
Що всередині:
• Проєкти розбиті на рівні — від Level 1 (basic) до Level 5 (advanced) — підходить і для початківців, і для тих, хто хоче виклику. 
• Приклади: чат-сервери, порт-сканери, скрипти для збору інформації, payload’и, інструменти для реверсу і навіть ідеї для власних Metasploit модулів. 
Кому буде корисно:
• Студентам і початківцям у безпеці
•Пентестерам, що хочуть самоосвіту або side-проєкт
• Тим, хто любить робити інструменти власноруч і розуміти «як це працює зсередини»
https://github.com/kurogai/100-redteam-projects
Хочеш прокачати навички offensive security або просто розважитись корисним кодом — обов’язково глянь цей репозиторій: тут перелік ~100 ідей для проєктів — від простих TCP-серверів до розробки payload’ів та інструментів для пост-експлуатації. 
Що всередині:
• Проєкти розбиті на рівні — від Level 1 (basic) до Level 5 (advanced) — підходить і для початківців, і для тих, хто хоче виклику. 
• Приклади: чат-сервери, порт-сканери, скрипти для збору інформації, payload’и, інструменти для реверсу і навіть ідеї для власних Metasploit модулів. 
Кому буде корисно:
• Студентам і початківцям у безпеці
•Пентестерам, що хочуть самоосвіту або side-проєкт
• Тим, хто любить робити інструменти власноруч і розуміти «як це працює зсередини»
https://github.com/kurogai/100-redteam-projects
🔥19👍1
Hacker101
Безкоштовний курс з веб- та мобільної безпеки
Хочеш почати займатись bug-bounty чи заглибитись у web-security?
Що всередині: уроки, відео й ресурси для початку роботи з XSS, SQL-ін’єкціями, CSRF та іншими вразливостями. 
Запустити локально (для тих, хто хоче покопатися в коді):
Безкоштовний курс з веб- та мобільної безпеки
Хочеш почати займатись bug-bounty чи заглибитись у web-security?
Що всередині: уроки, відео й ресурси для початку роботи з XSS, SQL-ін’єкціями, CSRF та іншими вразливостями. 
Запустити локально (для тих, хто хоче покопатися в коді):
git clone https://github.com/Hacker0x01/hacker101.githttps://github.com/Hacker0x01/hacker101
bundle install
bundle exec jekyll serve — і сайт буде доступний на http://localhost:4000.
👍31❤3