Forwarded from OWASP Kyiv Chapter
Запис вчорашнього вебінару про Software Supply Chain Security о 12-00 з'явиться на нашому каналі, запрошуємо на прем'єру: https://www.youtube.com/watch?v=hYcGFs1H6kU
https://www.youtube.com/watch?v=hYcGFs1H6kU
https://www.youtube.com/watch?v=hYcGFs1H6kU
YouTube
Software Supply Chain Security та компоненти з відомими вразливостями (Ігор Блюменталь)
Ігор Блюменталь, Co-founder at OWASP Kyiv & AppSec Lead at Berezha Security
Слайди: https://www.slideshare.net/owaspKyiv/software-supply-chain-security-232124127/
Слайди: https://www.slideshare.net/owaspKyiv/software-supply-chain-security-232124127/
OWASP TOP 10 в режиме геймификации 🧨
👉 https://application.security/free-application-security-training
👉 https://application.security/free-application-security-training
В этой статье подробно рассказывают, как проходит экзамен, какие подводные камни. 🔥🔥🔥
👉 https://habr.com/ru/company/acribia/blog/497806/
👉 https://habr.com/ru/company/acribia/blog/497806/
Хабр
Как я сдавал OSCP
Мы с коллегами прошли курс OSCP и сдали экзамен. В этой статье я подробно расскажу, как проходит экзамен, какие подводные камни и стоит ли игра свеч вообще. С чего всё началось Мой коллега c4n...
ссылка на регистрацию
https://forms.gle/Sk1n2a7rYR4dBxwA7
https://forms.gle/Sk1n2a7rYR4dBxwA7
Google Docs
Посиденьки про Security Testing
Запросив у гості Святослава Логіна
З його воркографії:
Більше 7 років в тестуванні
Більше 4 років тестую на наявність Web вразливостей
Спікер багатьох конференцій з тестування
Проводжу навчання по Security testing
В мої першочергові завдання входить…
З його воркографії:
Більше 7 років в тестуванні
Більше 4 років тестую на наявність Web вразливостей
Спікер багатьох конференцій з тестування
Проводжу навчання по Security testing
В мої першочергові завдання входить…
Посиделочки с обсуждением про безопасность web проектов и OWASP TOP 10
https://www.youtube.com/watch?v=_oITh3ynsM8
https://www.youtube.com/watch?v=_oITh3ynsM8
YouTube
Посиденьки про Security Testing
В посиденьках балакали про тестування безпеки, інструменти якими Свят користується
Також було розібрано на прикладах різні кейси вразливостей на тестових ресурсах
Інструменти для тестування:
Linux kali (тут все стоїть попередньо встановлене для роботи)…
Також було розібрано на прикладах різні кейси вразливостей на тестових ресурсах
Інструменти для тестування:
Linux kali (тут все стоїть попередньо встановлене для роботи)…
Forwarded from OWASP Kyiv Chapter
Вже в цю суботу на нас очікує така програма зустрічі:
🧐 AppSec vs Pentest vs Audit vs Assessment: В чому різниця і чому це важливо? (Vlad Styran)
🔒 Web-security technologies (SOP, CORS, CSP) (Oleksii Kyseliov)
📱 Android application dynamic analysis (Michael Burlin)
🛠 Ansible 101: For fun and profit (Kyrylo Hobreniak)
І традиційний вже 💣 OWASP Kyiv QUIZ від Serhii Korolenko
Повна програма за посиланням: https://cfp.owaspukraine.org/oks2m20/schedule/
Реєстрація за посиланням: https://www.eventbrite.com/e/owasp-kyiv-spring-2020-quarantine-edition-tickets-103065804596
https://www.eventbrite.com/e/owasp-kyiv-spring-2020-quarantine-edition-tickets-103065804596
🧐 AppSec vs Pentest vs Audit vs Assessment: В чому різниця і чому це важливо? (Vlad Styran)
🔒 Web-security technologies (SOP, CORS, CSP) (Oleksii Kyseliov)
📱 Android application dynamic analysis (Michael Burlin)
🛠 Ansible 101: For fun and profit (Kyrylo Hobreniak)
І традиційний вже 💣 OWASP Kyiv QUIZ від Serhii Korolenko
Повна програма за посиланням: https://cfp.owaspukraine.org/oks2m20/schedule/
Реєстрація за посиланням: https://www.eventbrite.com/e/owasp-kyiv-spring-2020-quarantine-edition-tickets-103065804596
https://www.eventbrite.com/e/owasp-kyiv-spring-2020-quarantine-edition-tickets-103065804596
cfp.owaspukraine.org
OWASP Kyiv Spring 2020 ONLINE Meetup
Schedule, talks and talk submissions for OWASP Kyiv Spring 2020 ONLINE Meetup
Продвинутый поиск в Гугл. Часть 1 🔥
Поисковые системы сканируют информацию и составляют поисковую выдачу на основе своих алгоритмов и даже искусственного интеллекта. Это означает, что поисковая машина могла просканировать сеть, сайт или отдельные страницы не по причине, что ей кто-то это разрешил, а просто из-за того, что она смогла туда добраться. 🤓
https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-1-04-21
Поисковые системы сканируют информацию и составляют поисковую выдачу на основе своих алгоритмов и даже искусственного интеллекта. Это означает, что поисковая машина могла просканировать сеть, сайт или отдельные страницы не по причине, что ей кто-то это разрешил, а просто из-за того, что она смогла туда добраться. 🤓
https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-1-04-21
Telegraph
Продвинутый поиск в Гугл. Часть 1
#Обучение Поисковые системы сканируют информацию и составляют поисковую выдачу на основе своих алгоритмов и даже искусственного интеллекта. Это означает, что поисковая машина могла просканировать сеть, сайт или отдельные страницы не по причине, что ей кто…
Продвинутый поиск в Гугл. Часть 2 🔥
Продолжение
👉 https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-2-04-22
Продолжение
👉 https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-2-04-22
Telegraph
Продвинутый поиск в Гугл. Часть 2
#Обучение Поиск по заголовку и тексту innoscript:"top 10 facts" "nikola tesla" Одновременно можно искать и по заголовку, и по тексту статьи. В результатах поиска будут показаны страницы, которые удовлетворяют обоим этим требованиям. Можно использовать как…
Hack The Box. Прохождение Control. SQL инъекция и LPE через права на службу
👉 https://habr.com/ru/post/499060/
👉 https://habr.com/ru/post/499060/
Хабр
Hack The Box. Прохождение Control. SQL инъекция и LPE через права на службу
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox . В данной статье проникаем в систему через SQL инъекцию, копаемся в истории командной строки и повышаем свои...
Продвинутый поиск в Гугл. Часть 3 🔥
Продолжения сиквела
👉 https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-3-04-23
Продолжения сиквела
👉 https://telegra.ph/Prodvinutyj-poisk-v-Gugl-CHast-3-04-23
Telegraph
Продвинутый поиск в Гугл. Часть 3
#Обучение Гугл позволяет анализировать целевой сайт, даже не делая на него запросы. Через Гугл можно найти уязвимые сайты, а также чувствительную информацию. Рассмотрим несколько примеров хакинга с Google. Поиск папок сайта с открытым для просмотра содержимым …
lulzbuster. Поиск скрытых файлов и директорий на сайтах 🔥
Почти у каждого сайта есть файлы и папки, на которые не ведут никакие ссылки. Среди них могут попадаться весьма интересные, например, забытые резервные копии базы данных или сайта, phpMyAdmin, входы в административные панели и другие страницы, не предназначенные для всеобщего доступа.
👉 https://telegra.ph/lulzbuster-Poisk-skrytyh-fajlov-i-direktorij-na-sajtah-04-20
Почти у каждого сайта есть файлы и папки, на которые не ведут никакие ссылки. Среди них могут попадаться весьма интересные, например, забытые резервные копии базы данных или сайта, phpMyAdmin, входы в административные панели и другие страницы, не предназначенные для всеобщего доступа.
👉 https://telegra.ph/lulzbuster-Poisk-skrytyh-fajlov-i-direktorij-na-sajtah-04-20
Telegraph
lulzbuster. Поиск скрытых файлов и директорий на сайтах
#Обучение Почти у каждого сайта есть файлы и папки, на которые не ведут никакие ссылки. Среди них могут попадаться весьма интересные, например, забытые резервные копии базы данных или сайта, phpMyAdmin, входы в административные панели и другие страницы,…
Network tools, или с чего начать пентестеру? Часть 1 🔥
Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.
👉 https://telegra.ph/Network-tools-ili-s-chego-nachat-pentesteru-CHast-1-04-24
Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть в совершенстве будет полезно каждому.
👉 https://telegra.ph/Network-tools-ili-s-chego-nachat-pentesteru-CHast-1-04-24
Telegraph
Network tools, или с чего начать пентестеру? Часть 1
#Обучение Toolkit начинающего пентестера: представляем краткий дайджест главных инструментов, которые пригодятся при пентесте внутренней сети. Эти инструменты уже активно используются широким кругом специалистов, поэтому знать об их возможностях и владеть…
Network tools, или с чего начать пентестеру? Часть 2 🔥🧨
Продолжаем рассказывать о полезных инструментах для пентестера. В новой статье мы рассмотрим инструменты для анализа защищенности веб-приложений.
👉 https://telegra.ph/Network-tools-ili-s-chego-nachat-pentesteru-CHast-2-04-25
Продолжаем рассказывать о полезных инструментах для пентестера. В новой статье мы рассмотрим инструменты для анализа защищенности веб-приложений.
👉 https://telegra.ph/Network-tools-ili-s-chego-nachat-pentesteru-CHast-2-04-25
Telegraph
Network tools, или с чего начать пентестеру? Часть 2
#Обучение Продолжаем рассказывать о полезных инструментах для пентестера. В новой статье мы рассмотрим инструменты для анализа защищенности веб-приложений. Amass. Amass — инструмент на Go для поиска и перебора поддоменов DNS и составления карты внешней сети.…
Перехват и анализ трафика со смартфона при помощи Wireshark🔥
Этот вид мониторинга может показаться агрессивным, однако имейте ввиду, что ваш провайдер также хранит эти данные в логах и имеет право продавать информацию на сторону.
👉 https://telegra.ph/Perehvat-i-analiz-trafika-so-smartfona-pri-pomoshchi-Wireshark-04-24-2
Этот вид мониторинга может показаться агрессивным, однако имейте ввиду, что ваш провайдер также хранит эти данные в логах и имеет право продавать информацию на сторону.
👉 https://telegra.ph/Perehvat-i-analiz-trafika-so-smartfona-pri-pomoshchi-Wireshark-04-24-2
Telegraph
Перехват и анализ трафика со смартфона при помощи Wireshark
#Обучение Этот вид мониторинга может показаться агрессивным, однако имейте ввиду, что ваш провайдер также хранит эти данные в логах и имеет право продавать информацию на сторону. Допустим, нужно узнать, какие приложения используются на телефоне. Если вы…
HackTheBox. 🔥 Прохождение OpenAdmin. RCE в OpenNetAdmin и GTFOBins в nano
👉 https://habr.com/ru/post/500186/
👉 https://habr.com/ru/post/500186/
Хабр
HackTheBox. Прохождение OpenAdmin. RCE в OpenNetAdmin и GTFOBins в nano
Продолжаю публикацию решений отправленных на дорешивание машин с площадки HackTheBox . В данной статье мы проэксплкатируем RCE в OpenNetAdmin, покопаемся в конфигах веб сервера, прокинем порт с...
Не багато часу залишається до курсу «OWASP Top 10 for Android» і цього разу проводимо його в режимі онлайн 🙂
«OWASP Top 10 for Android» - це авторський курс спікера 🗣- Святослава Логіна - QA lead and Security QA at Evo Company .
Святослав має більше 5-и років в тестуванні безпеки та вже цілих 8 років у QA, тому цей курс побудований на особистому досвіді 💯, а ще У вузьких колах Святослава називають Євангелістом Сек'юріті Тестування 🤩
Більше деталей про курс знайдете тут 👉: https://svyat.tech/Pentest-Android-Application-Training/
А квитчоки за цим посиланням 👉 https://2event.com/events/1856882
«OWASP Top 10 for Android» - це авторський курс спікера 🗣- Святослава Логіна - QA lead and Security QA at Evo Company .
Святослав має більше 5-и років в тестуванні безпеки та вже цілих 8 років у QA, тому цей курс побудований на особистому досвіді 💯, а ще У вузьких колах Святослава називають Євангелістом Сек'юріті Тестування 🤩
Більше деталей про курс знайдете тут 👉: https://svyat.tech/Pentest-Android-Application-Training/
А квитчоки за цим посиланням 👉 https://2event.com/events/1856882
Атаки на JavaScript. Часть 1
JavaScript один из популярнейших языков, используемых в работе сайтов. Благодаря такой популярности, можно найти самые разные примеры применения JavaScript. Из них самыми бессмысленными являются:
👉 контроль доступа с помощью JavaScript
👉 защита части или всего контента с помощью JavaScript
👉 верификация данных методами JavaScript без перепроверки на стороне сервера
https://telegra.ph/Ataki-na-JavaScript-CHast-1-05-06
JavaScript один из популярнейших языков, используемых в работе сайтов. Благодаря такой популярности, можно найти самые разные примеры применения JavaScript. Из них самыми бессмысленными являются:
👉 контроль доступа с помощью JavaScript
👉 защита части или всего контента с помощью JavaScript
👉 верификация данных методами JavaScript без перепроверки на стороне сервера
https://telegra.ph/Ataki-na-JavaScript-CHast-1-05-06
Telegraph
Атаки на JavaScript. Часть 1
#Обучение JavaScript один из популярнейших языков, используемых в работе сайтов. Благодаря такой популярности, можно найти самые разные примеры применения JavaScript. Из них самыми бессмысленными являются: контроль доступа с помощью JavaScript защита части…