Захоплення акаунту через OAuth вразливості. Burp Suite. LabPortswigger лабораторна 34.
Всім привіт! Продовжуємо відео про кібербезпеку. У цьому відео ми продовжуємо практикуватись з OAuth.
https://www.youtube.com/watch?v=3PtR2AmgWpo&feature=youtu.be
Всім привіт! Продовжуємо відео про кібербезпеку. У цьому відео ми продовжуємо практикуватись з OAuth.
https://www.youtube.com/watch?v=3PtR2AmgWpo&feature=youtu.be
❤22🔥3👍2
🔐 Awesome Open Source
Категорія Security — це велике зібрання відкритих проектів, інструментів та бібліотек, пов’язаних із безпекою в ІТ. 
Що можна знайти там?
- Класифікація за тематичними напрямками (наприклад: authentication, cryptography, vulnerability scanning, penetration testing, encryption, secure by default тощо) 
- Посилання на різні open-source рішення: фреймворки, утиліти, бібліотеки й інструменти, які допомагають в питаннях безпеки
Чому це корисно?
- Для розробників — можливість швидко знайти готові та перевірені рішення з безпеки
- Для команд DevSecOps й спеціалістів з інформаційної безпеки — як довідник ідей для інструментів, які можна інтегрувати
- Для навчання — хороша база для дослідження різноманітних напрямків у сфері security
https://awesomeopensource.com/categories/security
Категорія Security — це велике зібрання відкритих проектів, інструментів та бібліотек, пов’язаних із безпекою в ІТ. 
Що можна знайти там?
- Класифікація за тематичними напрямками (наприклад: authentication, cryptography, vulnerability scanning, penetration testing, encryption, secure by default тощо) 
- Посилання на різні open-source рішення: фреймворки, утиліти, бібліотеки й інструменти, які допомагають в питаннях безпеки
Чому це корисно?
- Для розробників — можливість швидко знайти готові та перевірені рішення з безпеки
- Для команд DevSecOps й спеціалістів з інформаційної безпеки — як довідник ідей для інструментів, які можна інтегрувати
- Для навчання — хороша база для дослідження різноманітних напрямків у сфері security
https://awesomeopensource.com/categories/security
🔥17
🕵️♂️ OpenCTI платформа кіберрозвідки з відкритим кодом
Це потужний інструмент для збору, аналізу та візуалізації даних про кіберзагрози.
Він допомагає організаціям будувати єдину базу знань про загрози, відстежувати взаємозв’язки між атакуючими групами, техніками MITRE ATT&CK, індикаторами компрометації (IoC) та інцидентами.
Що вміє:
•Інтеграції з десятками джерел (MISP, VirusTotal, CrowdStrike, AlienVault, тощо)
•Графічні зв’язки між об’єктами розвідки
•Підтримка стандартів STIX 2.1 та TAXII
•Автоматизація обміну розвідувальною інформацією
•Ролі, API та масштабування для великих команд
Використовується аналітиками SOC, CERT, DFIR та threat intelligence-командами по всьому світу.
https://github.com/OpenCTI-Platform/opencti
Це потужний інструмент для збору, аналізу та візуалізації даних про кіберзагрози.
Він допомагає організаціям будувати єдину базу знань про загрози, відстежувати взаємозв’язки між атакуючими групами, техніками MITRE ATT&CK, індикаторами компрометації (IoC) та інцидентами.
Що вміє:
•Інтеграції з десятками джерел (MISP, VirusTotal, CrowdStrike, AlienVault, тощо)
•Графічні зв’язки між об’єктами розвідки
•Підтримка стандартів STIX 2.1 та TAXII
•Автоматизація обміну розвідувальною інформацією
•Ролі, API та масштабування для великих команд
Використовується аналітиками SOC, CERT, DFIR та threat intelligence-командами по всьому світу.
https://github.com/OpenCTI-Platform/opencti
🔥6❤3
Media is too big
VIEW IN TELEGRAM
А що ви робите коли закінчились безкоштовні запити в ChatGPT?
🤣39❤1🔥1🤯1
OSINT Handbook
Це систематизований індекс з понад 5 000 посилань у 34 категоріях, присвячених інструментам і ресурсам відкритої розвідки. 
Це — не просто перелік, а корисний навігатор для тих, хто працює з відкритими джерелами даних, аналітикою, розслідуваннями та інформаційною безпекою.
🚀 Що можна знайти всередині?
• Каталог інструментів пошуку (соціальні мережі, архіви, мета-пошук тощо)
• Ресурси для перевірки зображень, геолокації, метаданих
• Інструменти для аналітики соціальних мереж
• Рекомендації з етики та безпеки при використанні OSINT
• Посилання, які допоможуть доповнити власну “технічну карту” інструментів
https://www.osinthandbook.com/
Це систематизований індекс з понад 5 000 посилань у 34 категоріях, присвячених інструментам і ресурсам відкритої розвідки. 
Це — не просто перелік, а корисний навігатор для тих, хто працює з відкритими джерелами даних, аналітикою, розслідуваннями та інформаційною безпекою.
🚀 Що можна знайти всередині?
• Каталог інструментів пошуку (соціальні мережі, архіви, мета-пошук тощо)
• Ресурси для перевірки зображень, геолокації, метаданих
• Інструменти для аналітики соціальних мереж
• Рекомендації з етики та безпеки при використанні OSINT
• Посилання, які допоможуть доповнити власну “технічну карту” інструментів
https://www.osinthandbook.com/
❤8👍3🔥1
Awesome-Application-Security-Checklist
Репозиторій від Mahdi Mashrur — це готовий чек-лист найважливіших заходів безпеки при розробці, створенні та тестуванні веб і мобільних додатків. 
🛡 Чому варто подивитися?
• Охоплює ключові теми: аутентифікація, авторизація, база даних, мобільні додатки, налаштування безпеки сервера й хмари. 
• Ма зірки від спільноти (понад 600) — означає, що іншим розробникам це справді корисно. 
• Чітко сформульовані рекомендації: наприклад, використання HTTPS усюди, хешування паролів Bcrypt, обмеження спроб входу, підготовлені SQL-запити тощо. 
https://github.com/MahdiMashrur/Awesome-Application-Security-Checklist
Репозиторій від Mahdi Mashrur — це готовий чек-лист найважливіших заходів безпеки при розробці, створенні та тестуванні веб і мобільних додатків. 
🛡 Чому варто подивитися?
• Охоплює ключові теми: аутентифікація, авторизація, база даних, мобільні додатки, налаштування безпеки сервера й хмари. 
• Ма зірки від спільноти (понад 600) — означає, що іншим розробникам це справді корисно. 
• Чітко сформульовані рекомендації: наприклад, використання HTTPS усюди, хешування паролів Bcrypt, обмеження спроб входу, підготовлені SQL-запити тощо. 
https://github.com/MahdiMashrur/Awesome-Application-Security-Checklist
❤18👍2🔥1
Malfrats Industries Map
Ідеальний інструмент для дослідників, аналітиків SOC, threat-hunters і всіх, хто цікавиться кіберрозвідкою.
На відміну від цього інструменту продовжує апдейтитись osintframework.com
https://map.malfrats.industries/
Ідеальний інструмент для дослідників, аналітиків SOC, threat-hunters і всіх, хто цікавиться кіберрозвідкою.
На відміну від цього інструменту продовжує апдейтитись osintframework.com
https://map.malfrats.industries/
🔥7❤1
Perplexica
Шукаєте альтернативу комерційним пошуковим AI? Перевірте Perplexica, повністю приватне рішення, яке можна запускати локально та підключати до власних моделей і хмарних API.
Чому варто:
• Працює «на своїх» даних і локально — контролюєте приватність. 
• Підтримує роботу з різними AI-провайдерами: локальні LLM через Ollama або хмари (Claude, Gemini, etc). 
• Має функції: веб-пошук (через SearxNG), завантаження файлів для аналізу, обмеження доменів пошуку.
Запускається з однієї команди
docker run -d -p 3000:3000 -v perplexica-data:/home/perplexica/data \
-v perplexica-uploads:/home/perplexica/uploads --name perplexica \
itzcrazykns1337/perplexica:latest
https://github.com/ItzCrazyKns/Perplexica
Шукаєте альтернативу комерційним пошуковим AI? Перевірте Perplexica, повністю приватне рішення, яке можна запускати локально та підключати до власних моделей і хмарних API.
Чому варто:
• Працює «на своїх» даних і локально — контролюєте приватність. 
• Підтримує роботу з різними AI-провайдерами: локальні LLM через Ollama або хмари (Claude, Gemini, etc). 
• Має функції: веб-пошук (через SearxNG), завантаження файлів для аналізу, обмеження доменів пошуку.
Запускається з однієї команди
docker run -d -p 3000:3000 -v perplexica-data:/home/perplexica/data \
-v perplexica-uploads:/home/perplexica/uploads --name perplexica \
itzcrazykns1337/perplexica:latest
https://github.com/ItzCrazyKns/Perplexica
❤6
100 проектів Red Team для пентестерів та мережевих менеджерів
Хочеш прокачати навички offensive security або просто розважитись корисним кодом — обов’язково глянь цей репозиторій: тут перелік ~100 ідей для проєктів — від простих TCP-серверів до розробки payload’ів та інструментів для пост-експлуатації. 
Що всередині:
• Проєкти розбиті на рівні — від Level 1 (basic) до Level 5 (advanced) — підходить і для початківців, і для тих, хто хоче виклику. 
• Приклади: чат-сервери, порт-сканери, скрипти для збору інформації, payload’и, інструменти для реверсу і навіть ідеї для власних Metasploit модулів. 
Кому буде корисно:
• Студентам і початківцям у безпеці
•Пентестерам, що хочуть самоосвіту або side-проєкт
• Тим, хто любить робити інструменти власноруч і розуміти «як це працює зсередини»
https://github.com/kurogai/100-redteam-projects
Хочеш прокачати навички offensive security або просто розважитись корисним кодом — обов’язково глянь цей репозиторій: тут перелік ~100 ідей для проєктів — від простих TCP-серверів до розробки payload’ів та інструментів для пост-експлуатації. 
Що всередині:
• Проєкти розбиті на рівні — від Level 1 (basic) до Level 5 (advanced) — підходить і для початківців, і для тих, хто хоче виклику. 
• Приклади: чат-сервери, порт-сканери, скрипти для збору інформації, payload’и, інструменти для реверсу і навіть ідеї для власних Metasploit модулів. 
Кому буде корисно:
• Студентам і початківцям у безпеці
•Пентестерам, що хочуть самоосвіту або side-проєкт
• Тим, хто любить робити інструменти власноруч і розуміти «як це працює зсередини»
https://github.com/kurogai/100-redteam-projects
🔥19👍1
Hacker101
Безкоштовний курс з веб- та мобільної безпеки
Хочеш почати займатись bug-bounty чи заглибитись у web-security?
Що всередині: уроки, відео й ресурси для початку роботи з XSS, SQL-ін’єкціями, CSRF та іншими вразливостями. 
Запустити локально (для тих, хто хоче покопатися в коді):
Безкоштовний курс з веб- та мобільної безпеки
Хочеш почати займатись bug-bounty чи заглибитись у web-security?
Що всередині: уроки, відео й ресурси для початку роботи з XSS, SQL-ін’єкціями, CSRF та іншими вразливостями. 
Запустити локально (для тих, хто хоче покопатися в коді):
git clone https://github.com/Hacker0x01/hacker101.githttps://github.com/Hacker0x01/hacker101
bundle install
bundle exec jekyll serve — і сайт буде доступний на http://localhost:4000.
👍31❤3
Асиметричне проти симетричного шифрування, Algorithm confusion, JWT. LabPortswigger лаба 37
Продовжуємо відео про кібербезпеку. У цьому відео ми продовжуємо практикуватись з JWT.
Ці лабораторні не є хакерством, а є навчальним матеріалом, що виконується виключно в тестовому середовищі PortSwigger з метою підвищення обізнаності у сфері безпеки.
https://www.youtube.com/watch?v=yWEilbhd36A
Продовжуємо відео про кібербезпеку. У цьому відео ми продовжуємо практикуватись з JWT.
Ці лабораторні не є хакерством, а є навчальним матеріалом, що виконується виключно в тестовому середовищі PortSwigger з метою підвищення обізнаності у сфері безпеки.
https://www.youtube.com/watch?v=yWEilbhd36A
❤12
Testlum
Це no-code платформа, яка об'єднує веб, мобільні додатки, API, бази даних, черги та WebSocket в один тест без жодного рядка коду.
Повний no-code, але з можливістю створювати складну логіку: цикли, умови, змінні, теги - як у коді, тільки без самого коду!
Один тест одночасно перевіряє UI + API + базу даних + mobile додатки + черги + WebSocket.
Усе тестування організовано в єдиному централізованому середовищі.
Dual Editing Mode: за допомогою візуального редактора (без написання коду), або через пряме редагування XML для максимальної гнучкості. Це зручно і для мануальщиків, і для девелоперів.
15+ типів баз даних і 40+ інтеграцій (Jenkins, GitLab, Azure DevOps, Jira -все підключається миттєво).
Автоматичні логи, скріншоти, відео - звіт, з якого одразу видно, де проблема.
Для нових користувачів Безкоштовний Тріал на 30 днів: всі функції пакету PRO, жодних "lite-версій", ніяких карток - Testlum
Це no-code платформа, яка об'єднує веб, мобільні додатки, API, бази даних, черги та WebSocket в один тест без жодного рядка коду.
Повний no-code, але з можливістю створювати складну логіку: цикли, умови, змінні, теги - як у коді, тільки без самого коду!
Один тест одночасно перевіряє UI + API + базу даних + mobile додатки + черги + WebSocket.
Усе тестування організовано в єдиному централізованому середовищі.
Dual Editing Mode: за допомогою візуального редактора (без написання коду), або через пряме редагування XML для максимальної гнучкості. Це зручно і для мануальщиків, і для девелоперів.
15+ типів баз даних і 40+ інтеграцій (Jenkins, GitLab, Azure DevOps, Jira -все підключається миттєво).
Автоматичні логи, скріншоти, відео - звіт, з якого одразу видно, де проблема.
Для нових користувачів Безкоштовний Тріал на 30 днів: всі функції пакету PRO, жодних "lite-версій", ніяких карток - Testlum
❤8👍4🔥3
🔥 Hacker Roadmap — найкраща карта для старту в кібербезпеці
Якщо ти давно хотів увірватися в світ етичного хакингу, але не знав з чого почати — тримай золоту знахідку.
Hacker Roadmap — це структурований гайд від спільноти, де зібрано все, що потрібно для входу в кібербезпеку:
🔹 Основи мереж і Linux
🔹 Web Security & pentesting
🔹 Cryptography basics
🔹 Практичні лабораторії (включно з HackTheBox / TryHackMe)
🔹 GitHub-репозиторії, книги, туторіали
🔹 Кар’єрний шлях та напрямки — від SOC до Red Team
https://github.com/Hacking-Notes/Hacker-Roadmap
Якщо ти давно хотів увірватися в світ етичного хакингу, але не знав з чого почати — тримай золоту знахідку.
Hacker Roadmap — це структурований гайд від спільноти, де зібрано все, що потрібно для входу в кібербезпеку:
🔹 Основи мереж і Linux
🔹 Web Security & pentesting
🔹 Cryptography basics
🔹 Практичні лабораторії (включно з HackTheBox / TryHackMe)
🔹 GitHub-репозиторії, книги, туторіали
🔹 Кар’єрний шлях та напрямки — від SOC до Red Team
https://github.com/Hacking-Notes/Hacker-Roadmap
🔥21👍2
🛡️ API Security Empire
Хочеш прокачати навички у тестуванні API, заглибитись у баги REST/GraphQL/SOAP, або просто хоча б розуміти, як не зламати свою систему — тоді цей репозиторій для тебе.
📚 Що всередині:
• Майндмепи (Recon, Attacking) для організованого підходу до тестування API. 
• Перелік інструментів, які реально використовують пентестери: BurpSuite, FFUF, Arjun, Postman, SecLists, SoapUI, Kiterunner та інші. 
• Сценарії атак і техніки для REST, SOAP та GraphQL API. 
• Ресурси для навчання: туториали, mind-maps, чеклисти, практичні поради — усе, щоб не “наосліп”, а системно. 
https://github.com/Cyber-Guy1/API-SecurityEmpire
Хочеш прокачати навички у тестуванні API, заглибитись у баги REST/GraphQL/SOAP, або просто хоча б розуміти, як не зламати свою систему — тоді цей репозиторій для тебе.
📚 Що всередині:
• Майндмепи (Recon, Attacking) для організованого підходу до тестування API. 
• Перелік інструментів, які реально використовують пентестери: BurpSuite, FFUF, Arjun, Postman, SecLists, SoapUI, Kiterunner та інші. 
• Сценарії атак і техніки для REST, SOAP та GraphQL API. 
• Ресурси для навчання: туториали, mind-maps, чеклисти, практичні поради — усе, щоб не “наосліп”, а системно. 
https://github.com/Cyber-Guy1/API-SecurityEmpire
🔥17👍2
Linkook
У тебе купа профілів, соцмереж, проектів, портфоліо, публікацій?
Linkook — це легкий та елегантний спосіб зібрати їх в один красивий лінк-хаб.
📌 Що це таке:
Linkook — простий open-source проєкт, де ти можеш створити свою сторінку-візитку з усіма посиланнями.
Ніяких платних тарифів, обмежень чи реклами — повна свобода кастомізації.
GitHub: https://github.com/JackJuly/linkook
✨ Можливості:
• мінімалістичний інтерфейс
• швидке налаштування (HTML/CSS)
• зручний формат персональної “мікро-візитки”
• адаптивність під мобільні девайси
• можна деплоїти на GitHub Pages за декілька хвилин
https://github.com/JackJuly/linkook
У тебе купа профілів, соцмереж, проектів, портфоліо, публікацій?
Linkook — це легкий та елегантний спосіб зібрати їх в один красивий лінк-хаб.
📌 Що це таке:
Linkook — простий open-source проєкт, де ти можеш створити свою сторінку-візитку з усіма посиланнями.
Ніяких платних тарифів, обмежень чи реклами — повна свобода кастомізації.
GitHub: https://github.com/JackJuly/linkook
✨ Можливості:
• мінімалістичний інтерфейс
• швидке налаштування (HTML/CSS)
• зручний формат персональної “мікро-візитки”
• адаптивність під мобільні девайси
• можна деплоїти на GitHub Pages за декілька хвилин
https://github.com/JackJuly/linkook
🤔5❤2
🔐 DefaultCreds Cheat Sheet
Якщо ти займаєшся безпекою мереж, пентестом або аудитом інфраструктури, ця шпаргалка для тебе.
📌 Що всередині:
⭐ Велика таблиця стандартних логінів/паролів для:
• мережевого обладнання (роутери, комутатори)
• IoT-пристроїв
• серверів та сервісів
• адмін-панелей
• популярних платформ та ПО
📍 Дані зібрані з відкритих джерел, вендорських документацій і практичного досвіду — все, що потрібно для швидкої перевірки доступу за стандартними обліковими.
https://github.com/ihebski/DefaultCreds-cheat-sheet
Якщо ти займаєшся безпекою мереж, пентестом або аудитом інфраструктури, ця шпаргалка для тебе.
📌 Що всередині:
⭐ Велика таблиця стандартних логінів/паролів для:
• мережевого обладнання (роутери, комутатори)
• IoT-пристроїв
• серверів та сервісів
• адмін-панелей
• популярних платформ та ПО
📍 Дані зібрані з відкритих джерел, вендорських документацій і практичного досвіду — все, що потрібно для швидкої перевірки доступу за стандартними обліковими.
https://github.com/ihebski/DefaultCreds-cheat-sheet
🔥8❤2
Forwarded from Лена
‼️Збір на реабілітацію після високої ампутації двох нижніх кінцівок
🫡🇺🇦 Йозеф Ноціар, 25-та повітряна-десантна бригада
26 років. Доброволець, громадянин Словенії. 20.09.2025 підірвався на міні. Втратив дві ноги.
Історія Йозефа: ctzn24.com/hero/262
❗️Потрібна спеціалізована реабілітація в Західному реабілітаційному центрі❗️
ЗБИРАЄМО 270 000 грн
🙏 Просимо підтримати — кожна гривня важлива.
✅ Монобанка Йозефа: send.monobank.ua/jar/4T2Pnhnb5f
✅ IBAN ПриватБанк: pb.ua/short?2ZMHT
🇺🇦 Нагадуємо також про опцію задонатити «Зимову тисячу» та кошти національного кешбеку на допомогу пораненим захисникам
🫡🇺🇦 Йозеф Ноціар, 25-та повітряна-десантна бригада
26 років. Доброволець, громадянин Словенії. 20.09.2025 підірвався на міні. Втратив дві ноги.
Історія Йозефа: ctzn24.com/hero/262
"Я повертався з розвідки. Була тиша, яка насторожує. Один крок… і чорне провалля. Усвідомив одразу… ноги… їх уже нема. Але свідомість трималася міцно. Я дихав, намагався не думати зайвого…
В лікарні дізнався повний масштаб ушкоджень. Ампутація обох ніг вище коліна. Травмована кисть. Осколкові поранення. Ланцюг операцій. Довгі ночі. Повільні ранки..." - ділиться Йозеф.
❗️Потрібна спеціалізована реабілітація в Західному реабілітаційному центрі❗️
ЗБИРАЄМО 270 000 грн
🙏 Просимо підтримати — кожна гривня важлива.
✅ Монобанка Йозефа: send.monobank.ua/jar/4T2Pnhnb5f
✅ IBAN ПриватБанк: pb.ua/short?2ZMHT
🇺🇦 Нагадуємо також про опцію задонатити «Зимову тисячу» та кошти національного кешбеку на допомогу пораненим захисникам
🫡18
🔎 Pinkerton
Пошук секретів у JavaScript через crawl сайту
Pinkerton — це Python-інструмент, який:
➡️ сканує сайт,
➡️ збирає всі підключені JavaScript-файли,
➡️ шукає в них секрети.
🧠 Що саме він шукає
У JS-файлах:
• 🔑 API keys
• 🔐 authorization tokens
• 🪪 hardcoded passwords
• 🧾 інші чутливі дані, які часто “випливають” у frontend
https://github.com/000pp/Pinkerton
Пошук секретів у JavaScript через crawl сайту
Pinkerton — це Python-інструмент, який:
➡️ сканує сайт,
➡️ збирає всі підключені JavaScript-файли,
➡️ шукає в них секрети.
🧠 Що саме він шукає
У JS-файлах:
• 🔑 API keys
• 🔐 authorization tokens
• 🪪 hardcoded passwords
• 🧾 інші чутливі дані, які часто “випливають” у frontend
https://github.com/000pp/Pinkerton
🔥9👍2❤1